Le package NPM 'Lotusbail' compromet des comptes WhatsApp via vol d’identifiants et backdoor

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 tĂ©lĂ©chargements. Le package fonctionne comme une API WhatsApp pleinement opĂ©rationnelle, en enveloppant le client WebSocket lĂ©gitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et mĂ©dias tout en maintenant le fonctionnement normal, rendant la dĂ©tection difficile. ...

29 dĂ©cembre 2025 Â· 2 min

MongoBleed Detector : un outil CLI pour dĂ©tecter l’exploitation de CVE-2025-14847 dans les logs MongoDB

Contexte et source: Publication technique type README (dĂ©pĂŽt GitHub du projet “MongoBleed Detector”) prĂ©sentant un outil de dĂ©tection local pour la vulnĂ©rabilitĂ© MongoBleed (CVE-2025-14847). L’outil « MongoBleed Detector » cible CVE-2025-14847, une vulnĂ©rabilitĂ© de divulgation de mĂ©moire dans la dĂ©compression zlib de MongoDB, permettant l’exfiltration de donnĂ©es sensibles (identifiants, tokens, PII) sans authentification. Il analyse les logs JSON de MongoDB de façon offline/agentless et cherche un motif d’attaque caractĂ©ristique: volumes de connexions trĂšs Ă©levĂ©s depuis une mĂȘme IP, absence totale de mĂ©tadonnĂ©es client, et rafales trĂšs courtes (jusqu’à 100 000+ connexions/min dans le comportement documentĂ©). ...

29 dĂ©cembre 2025 Â· 3 min

Nouvelle souche du malware Shai Hulud détectée sur npm (@vietmoney/react-big-calendar)

Selon Aikido Security (blog, 28 dĂ©c. 2025), une nouvelle souche du ver/malware Shai Hulud a Ă©tĂ© dĂ©tectĂ©e dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation Ă  ce stade. ‱ Nature et contexte: Aikido dĂ©crit une variante «novelle et inĂ©dite» de Shai Hulud, dont le code apparaĂźt Ă  nouveau obfusquĂ© depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a Ă©tĂ© identifiĂ© peu aprĂšs sa mise en ligne, avec des changements notables dans la chaĂźne d’exfiltration et l’opĂ©rationnalisation du ver. ⚠ ...

29 dĂ©cembre 2025 Â· 2 min

Rainbow Six Siege compromis : crĂ©dits massifs distribuĂ©s, bans manipulĂ©s et serveurs arrĂȘtĂ©s

Source: BleepingComputer (Lawrence Abrams). L’article rapporte qu’Ubisoft a confirmĂ© un incident affectant Rainbow Six Siege (R6) ayant permis des abus en jeu, tandis que des rumeurs non vĂ©rifiĂ©es Ă©voquent une compromission plus large de l’infrastructure via la vulnĂ©rabilitĂ© MongoDB MongoBleed (CVE-2025-14847). 🎼 Incident confirmĂ© et impact Les attaquants ont pu bannir/dĂ©bannir des joueurs, afficher de faux messages de bannissement sur le ticker, octroyer ~2 milliards de R6 Credits et de Renown Ă  tous les joueurs, et dĂ©verrouiller tous les cosmĂ©tiques, y compris des skins rĂ©servĂ©s aux dĂ©veloppeurs. Les R6 Credits Ă©tant une monnaie premium (15 000 crĂ©dits = 99,99 $), la valeur estimĂ©e des crĂ©dits distribuĂ©s avoisine 13,33 M$. 🛑 RĂ©ponse d’Ubisoft ...

29 dĂ©cembre 2025 Â· 3 min

Un certificat SSL expiré interrompt les dépÎts Bazel de Google et met en lumiÚre un risque opérationnel

Selon un billet de blog de Lorin Hochstein (Incidents), un certificat SSL expirĂ© a touchĂ© les domaines de distribution de Bazel chez Google, provoquant des Ă©checs de build pour les utilisateurs. ‱ Impact principal: des erreurs cĂŽtĂ© clients Bazel lors de l’accĂšs au registre, avec des messages tels que « PKIX path validation failed: CertPathValidatorException: validity check failed ». Les domaines affectĂ©s Ă©taient https://bcr.bazel.build et https://releases.bazel.build. đŸ”đŸš« ‱ Cause immĂ©diate: d’aprĂšs un rĂ©sumĂ© post-mitigation de XĂčdƍng YĂĄng sur un ticket GitHub, l’auto‑renouvellement du certificat a Ă©tĂ© bloquĂ© suite Ă  l’ajout de nouveaux sous-domaines, et les notifications d’échec de renouvellement n’ont pas Ă©tĂ© envoyĂ©es. ...

29 dĂ©cembre 2025 Â· 2 min

Vulnérabilités dans GnuPG, Sequoia PGP, age et minisign révélées à 39c3

Lors d’une prĂ©sentation au 39c3 (Chaos Communication Congress), les chercheurs ont dĂ©taillĂ© des vulnĂ©rabilitĂ©s pratiques affectant des utilitaires de signature et de chiffrement largement utilisĂ©s, avec un site dĂ©diĂ© (gpg.fail) et l’avertissement que la session pourrait contenir des zerodays. Les outils touchĂ©s incluent GnuPG, Sequoia PGP, age et minisign. Les failles proviennent principalement de bugs d’implĂ©mentation — notamment dans le parsing des formats — et non de dĂ©fauts dans les primitives cryptographiques. Un exemple citĂ© est la confusion sur les donnĂ©es rĂ©ellement signĂ©es, permettant Ă  un attaquant, sans la clĂ© privĂ©e du signataire, d’échanger le texte en clair. ...

29 dĂ©cembre 2025 Â· 2 min

Anna's Archive affirme avoir copié 86 M de titres Spotify et publié ~300 To en torrents

Selon Billboard, le groupe d’activistes du piratage Anna’s Archive affirme avoir rĂ©alisĂ© un scraping Ă  grande Ă©chelle de la plateforme Spotify, rĂ©cupĂ©rant 86 millions de fichiers audio et 256 millions de lignes de mĂ©tadonnĂ©es, avant de publier environ 300 To de donnĂ©es sous forme de fichiers torrent. đŸŽ”đŸ§Č Les Ă©lĂ©ments clĂ©s rapportĂ©s sont: Volume et nature des donnĂ©es: 86 millions de pistes audio et un vaste ensemble de mĂ©tadonnĂ©es (256 M de lignes). Mode d’exfiltration/diffusion: publication des donnĂ©es en environ 300 To de torrents. Points techniques et mĂ©thodes observĂ©es: ...

26 dĂ©cembre 2025 Â· 1 min

Campagne de spearphishing abuse le registre npm pour héberger des leurres Microsoft et contourner la MFA

Selon Socket (Socket Threat Research Team), une opĂ©ration de spearphishing ciblĂ©e et soutenue a dĂ©tournĂ© le registre npm comme couche d’hĂ©bergement et de distribution pendant au moins cinq mois, avec 27 paquets malveillants publiĂ©s sous six alias, visant des personnels commerciaux de secteurs industriels et santĂ© aux États-Unis et dans des pays alliĂ©s. — PortĂ©e et objectifs. La campagne cible des individus spĂ©cifiques (25 identitĂ©s) dans des fonctions commerciales (vente, account management, business dev.) de secteurs adjacents aux infrastructures critiques (manufacturing, automatisation industrielle, plasturgie, santĂ©/pharma). Les leurres imitent des portails de partage de documents et des pages de connexion Microsoft pour la capture d’identifiants. ...

26 dĂ©cembre 2025 Â· 4 min

Cloud Atlas (APT) en 2025 : chaĂźne d’infection mise Ă  jour via CVE‑2018‑0802, VBShower/VBCloud/PowerShower et dĂ©tournement de DLL VLC

Kaspersky publie un rapport (19 dĂ©c. 2025) sur l’APT Cloud Atlas, ciblant l’Europe de l’Est et l’Asie centrale, et dĂ©crit en dĂ©tail la chaĂźne d’infection et des implants (dont certains inĂ©dits) observĂ©s au 1er semestre 2025. Point d’entrĂ©e: phishing avec document Office (DOC/X) chargeant un modĂšle RTF malveillant exploitant CVE‑2018‑0802 (Equation Editor) pour tĂ©lĂ©charger/exĂ©cuter un HTA. Les modĂšles/HTA sont hĂ©bergĂ©s sur des serveurs de l’acteur, avec tĂ©lĂ©chargements restreints dans le temps et par IP. ...

26 dĂ©cembre 2025 Â· 3 min

Compromission du bouton de tĂ©lĂ©chargement d’EmEditor : installeur potentiellement malveillant (19–22 dĂ©c. 2025 PT)

Source: EmEditor (emeditor.com) — Le 22 dĂ©cembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifiĂ© la redirection du bouton « Download Now » sur le site officiel, pouvant dĂ©livrer un installeur non lĂ©gitime entre le 19 dĂ©c. 2025 18:39 et le 22 dĂ©c. 2025 12:50 (heure du Pacifique). L’URL de tĂ©lĂ©chargement lĂ©gitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a Ă©tĂ© altĂ©rĂ©e pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas Ă©tĂ© créé par Emurasoft, Inc. et a Ă©tĂ© retirĂ©. Le MSI potentiellement frauduleux porte une signature numĂ©rique « WALSHAM INVESTMENTS LIMITED ». Le problĂšme pourrait toucher aussi des pages d’autres langues (dont le japonais). ...

26 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝