Global

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours. 🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques. 🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports). ...

Source: Knostic.ai — Des chercheurs en sécurité rapportent une vulnérabilité reproductible dans GPT-5 causant une contamination de contexte inter‑session lors de scénarios d’erreurs de longueur de message suivies d’un appui sur « Retry ». — Résumé factuel — Nature du problème: vulnérabilité de gestion d’erreurs et de session entraînant une contamination de contexte cross‑session. Conditions: prompts surdimensionnés provoquant des erreurs de type message_length_exceeds_limit, puis action Retry. Impact observé: génération de réponses issues de conversations non liées. Aucune exposition de données sensibles confirmée, mais risque de confiance et de confidentialité élevé, notamment pour des environnements entreprise et réglementés. — Détails techniques — ...

Selon ReversingLabs, de nombreuses organisations peinent avec le DevSecOps traditionnel en raison de frictions organisationnelles, d’outils de sécurité intrusifs et d’une faible expérience développeur. Des leaders comme Amazon, Netflix et Google réorientent leurs efforts vers le Developer Experience (DevEx) pour améliorer simultanément la sécurité et la productivité, Amazon rapportant une réduction de 15,9% des coûts de livraison logicielle liée à ces investissements. L’approche technique recommandée s’appuie sur des « paved roads » 🛣️: des solutions de sécurité bien supportées, optionnelles, et prêtes à l’emploi pour des problèmes courants, fournies par des équipes centrales. Elle inclut aussi l’intégration d’outils de sécurité dotés de priorisation contextuelle, ainsi que l’amélioration de la communication entre équipes développeurs et sécurité 🤝. ...

Source: CrowdStrike (blog) — Dans un billet technique, CrowdStrike met en lumière un problème clé de l’IA appliquée à la cybersécurité: la fuite d’information entre ensembles d’entraînement et de test qui gonfle artificiellement les performances des modèles. Le cœur du problème présenté est la train‑test leakage lorsque des observations corrélées (événements liés au même arbre de processus, scripts similaires, ou provenant de la même machine) sont réparties aléatoirement entre train et test. Cette pratique crée des attentes de performance irréalistes et peut conduire à des échecs face à des menaces inédites en production. ...

Selon Palo Alto Networks Unit 42, des tentatives d’exploitation actives visent CVE-2025-32433, une vulnérabilité critique d’exécution de code à distance (CVSS 10.0) affectant le démon SSH d’Erlang/OTP. • Vulnérabilité et impact. La faille repose sur une mauvaise application d’état dans l’implémentation SSH d’Erlang/OTP, permettant le traitement de messages du protocole de connexion SSH (codes >= 80) avant la fin de l’authentification. Des attaquants non authentifiés peuvent ainsi exécuter des commandes arbitraires. Unit 42 note que 70 % des tentatives proviennent de pare-feu protégeant des réseaux OT, avec un impact notable sur les secteurs santé, éducation et haute technologie. 🚨 ...

Selon une publication de recherche référencée sur embracethered.com, une vulnérabilité à haute sévérité a été identifiée et corrigée dans Claude Code d’Anthropic, exposant les utilisateurs à un détournement de l’assistant et à l’exfiltration de données. — L’essentiel: l’attaque repose sur une injection indirecte de prompts capable de forcer Claude Code à exfiltrer des informations sensibles depuis les machines des développeurs. Elle abuse d’une allowlist de commandes bash (notamment ping, nslookup, dig, host) ne nécessitant pas d’approbation utilisateur et encode les données volées dans des requêtes DNS vers des serveurs contrôlés par l’attaquant. Anthropic a reçu la divulgation de manière responsable et a corrigé la vulnérabilité. 💡🔒 ...

Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis. 🔐 Points clés: Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD. Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option --provenance. Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines. 🧰 Intégration et prérequis: ...

Selon Embrace The Red, des chercheurs ont démontré une vulnérabilité critique dans l’agent IA OpenHands permettant, via prompt injection, une exécution de code à distance (RCE) et la prise de contrôle persistante de l’agent en un « ZombAI » 🚨. Sur le plan technique, l’attaque insère des instructions malveillantes dans des contenus web que l’agent traite. Lorsqu’OpenHands visite un site contrôlé par l’attaquant, il suit ces instructions pour télécharger un malware (payload similaire à ceux observés dans des exploits visant Anthropic Claude), l’exécuter localement, puis établir une connexion à un serveur de C2 🤖. ...

Selon une analyse publiée sur zeifan.my, un pilote Windows malveillant présente une vulnérabilité d’élévation de privilèges de sévérité élevée (CVSS 8.8), avec des capacités de manipulation du registre et d’accès disque brut. L’étude décrit trois interfaces de périphérique exposées par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie à des actions critiques. Les vulnérabilités clés incluent la suppression arbitraire de clés de registre HKLM, la modification de l’entrée BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrôles de sécurité. ...