Shai‑Hulud 2.0 : ver NPM auto‑rĂ©plicant dĂ©tournant GitHub Actions comme canal C2

Selon Iru (Threat Intelligence), dans un billet du 4 dĂ©cembre 2025 signĂ© par Calvin So, des attaquants ont menĂ© une opĂ©ration de chaĂźne d’approvisionnement NPM baptisĂ©e Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 aoĂ»t 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgĂ©, d’exĂ©cuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piĂ©gĂ©es de packages Nx ont alors Ă©tĂ© publiĂ©es. En septembre, CISA et plusieurs Ă©diteurs ont constatĂ© une infection de chaĂźne d’approvisionnement plus large : le ver Shai‑Hulud se rĂ©plique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dĂ©pĂŽts GitHub privĂ©s et se copie dans d’autres packages. ...

6 dĂ©cembre 2025 Â· 3 min

Thaïlande : saisie de 270 M€ d’actifs lors d’un coup de filet contre des centres d’arnaques en ligne

Selon Courrier international, citant le quotidien thaĂŻlandais Khaosod, les autoritĂ©s thaĂŻlandaises ont annoncĂ© une vaste opĂ©ration contre des centres d’arnaques en ligne actifs dans les zones frontaliĂšres avec le Cambodge, avec Ă  la clĂ© une saisie record d’actifs. 🚔 Les perquisitions, menĂ©es dans une cinquantaine de localitĂ©s, ont permis de saisir environ 10 milliards de bahts (270 M€) sous forme de yachts de luxe, vĂ©hicules haut de gamme, terrains et comptes bancaires. L’opĂ©ration a ciblĂ© des ressortissants thaĂŻlandais soupçonnĂ©s de collaboration avec des organisations criminelles basĂ©es au Cambodge. ...

6 dĂ©cembre 2025 Â· 2 min

Un webshell PHP 'Beima' vendu par un étudiant alimente un marché asiatique de sites compromis

Selon Howler Cell Research Team, une enquĂȘte a mis au jour une chaĂźne multi‑infection liĂ©e Ă  un botnet, au centre de laquelle un Ă©tudiant bangladais vend l’accĂšs Ă  des sites compromis (surtout WordPress et cPanel) Ă  des acheteurs principalement basĂ©s en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indĂ©tectĂ© par des outils modernes, y compris VirusTotal (depuis mai 2024). MarchĂ©: plus de 5 200 sites compromis listĂ©s Ă  la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/Ă©ducation. Origine/acheteurs: vendeur Ă©tudiant au Bangladesh; acheteurs surtout Chine, IndonĂ©sie, Malaisie; focus pays: Inde, IndonĂ©sie (aussi BrĂ©sil, ThaĂŻlande, États‑Unis). AccĂšs initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. DĂ©tails techniques du webshell 🐚 ...

6 dĂ©cembre 2025 Â· 2 min

UTA0355 (Russie) abuse d’OAuth et du Device Code pour usurper des Ă©vĂ©nements europĂ©ens et compromettre des comptes Microsoft 365

Selon Volexity (blog Threat Intelligence, 4 dĂ©cembre 2025), le groupe russe UTA0355 mĂšne de nouvelles campagnes ciblĂ©es abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accĂ©der Ă  leurs comptes, en usurpant des Ă©vĂ©nements de sĂ©curitĂ© internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil lĂ©gitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant Ă  un flux OAuth Microsoft. L’utilisateur Ă©tait incitĂ© Ă  transmettre l’URL contenant le code/token pour « finaliser l’inscription ». AprĂšs compromission, accĂšs Ă©tendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le mĂȘme nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0
; Xiaomi » alors que l’accĂšs prĂ©tendait venir d’un iPhone. — Extension des opĂ©rations (site bsc2025[.]org) 🌐 ...

6 dĂ©cembre 2025 Â· 3 min

CISA/NSA et le Cyber Centre analysent BRICKSTORM, une backdoor Go ciblant VMware vSphere

Selon un rapport TLP:CLEAR publiĂ© par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Centre canadien pour la cybersĂ©curitĂ©, des acteurs Ă©tatiques de la RPC utilisent le malware BRICKSTORM pour maintenir une persistence de longue durĂ©e dans des environnements VMware vSphere (vCenter/ESXi) et aussi des environnements Windows. L’analyse couvre 8 Ă©chantillons et inclut des IOCs, des rĂšgles YARA et Sigma, ainsi que des recommandations de dĂ©tection et d’attĂ©nuation. ...

5 dĂ©cembre 2025 Â· 3 min

CVE-2025-8489: exploitation active d’une Ă©lĂ©vation de privilĂšges dans le plugin King Addons for Elementor (WordPress)

Selon BleepingComputer, des attaquants exploitent activement une vulnĂ©rabilitĂ© critique d’élĂ©vation de privilĂšges (CVE-2025-8489) dans le plugin King Addons for Elementor pour WordPress. 🚹 Fait principal: la faille permet aux acteurs malveillants d’obtenir des permissions administrateur pendant le processus d’inscription. Produit concernĂ©: plugin WordPress King Addons for Elementor. VulnĂ©rabilitĂ©: Ă©lĂ©vation de privilĂšges (CVE-2025-8489). Impact: prise de contrĂŽle administratif d’un site via la phase d’enregistrement. IOCs et TTPs: IOCs: non prĂ©cisĂ©s dans l’extrait. TTPs: Exploitation d’une faille d’élĂ©vation de privilĂšges cĂŽtĂ© plugin WordPress. Abus du flux d’inscription pour s’octroyer des droits administratifs. Il s’agit d’un article de presse spĂ©cialisĂ© visant Ă  signaler une exploitation active d’une vulnĂ©rabilitĂ© WordPress et Ă  informer sur son impact. ...

4 dĂ©cembre 2025 Â· 1 min

Exploitation active d’une faille critique dans King Addons for Elementor permettant l’élĂ©vation de privilĂšges

Source : Wordfence (blog). Contexte : une vulnĂ©rabilitĂ© critique d’élĂ©vation de privilĂšges dans le plugin WordPress King Addons for Elementor (>10 000 installations actives) est activement exploitĂ©e depuis fin octobre 2025. Le correctif est disponible depuis le 25 septembre 2025 (version 51.1.35). 🚹 VulnĂ©rabilitĂ© et impact La fonction d’inscription AJAX handle_register_ajax() accepte un paramĂštre user_role non restreint, permettant Ă  un attaquant non authentifiĂ© de se crĂ©er un compte avec le rĂŽle administrator. Impact : compromission complĂšte du site (installation de plugins/thĂšmes malveillants, backdoors, modification de contenus, redirections, injection de spam). đŸ—“ïž Chronologie et statistiques ...

4 dĂ©cembre 2025 Â· 2 min

Faille critique RCE (CVSS 10) dans React Server Components (CVE-2025-55182) – mises à jour urgentes

Selon react.dev, une vulnĂ©rabilitĂ© critique permettant une exĂ©cution de code Ă  distance non authentifiĂ©e a Ă©tĂ© dĂ©couverte dans React Server Components et divulgĂ©e sous CVE-2025-55182 (score CVSS 10.0). Le dĂ©faut provient d’un problĂšme dans la façon dont React dĂ©code les charges utiles envoyĂ©es aux endpoints de React Server Functions, permettant Ă  un attaquant de provoquer une RCE via une requĂȘte HTTP malveillante. ⚠ PortĂ©e et impact La faille touche les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. MĂȘme si une application n’implĂ©mente pas d’endpoints Server Function, elle peut ĂȘtre vulnĂ©rable si elle supporte React Server Components. Les applications React sans serveur, ou sans framework/outil supportant RSC, ne sont pas affectĂ©es. Correctifs disponibles ...

4 dĂ©cembre 2025 Â· 2 min

Kohler peut accéder aux données des toilettes connectées et utiliser les images pour entraßner une IA

Selon TechCrunch, le fabricant Kohler, Ă  l’origine d’une camĂ©ra pour toilettes connectĂ©es, indique pouvoir accĂ©der aux donnĂ©es des clients hĂ©bergĂ©es sur ses serveurs et utiliser des photos de cuvette pour entraĂźner une intelligence artificielle. L’article met en avant des enjeux de confidentialitĂ© et de gestion des donnĂ©es autour d’un produit IoT dotĂ© d’une camĂ©ra. Kohler peut accĂ©der aux donnĂ©es clients stockĂ©es sur ses serveurs. Le mĂ©dia prĂ©cise que l’entreprise peut Ă©galement utiliser des photos du contenu du bol prises par l’appareil pour entraĂźner une IA. đŸ“žđŸ€– ...

4 dĂ©cembre 2025 Â· 1 min

Le phishing s’industrialise: 42 000 IOCs, Cloudflare domine, PhaaS et AitM en pleine hausse

Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basĂ©e sur un pipeline d’intelligence temps rĂ©el (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liĂ©s Ă  des kits de phishing, C2 et livraison de payloads. 🔎 Infrastructures et hĂ©bergement 68% de l’infrastructure de phishing observĂ©e se trouve derriĂšre Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%). Sur 12 635 IPs uniques, 51,54% sont en hĂ©bergement direct (infrastructures jetables), 48,46% protĂ©gĂ©es par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur prĂšs de la moitiĂ© du paysage. FiabilitĂ© opĂ©rationnelle Ă©levĂ©e: 96,16% de taux moyen de rĂ©solution DNS. đŸ•žïž Abus de confiance et TLDs utilisĂ©s ...

4 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝