ShadyPanda: 4,3 M de navigateurs infectés via extensions Chrome/Edge depuis 7 ans

Selon Koi Security (blog), une enquĂȘte attribue Ă  l’acteur « ShadyPanda » une campagne d’extensions de navigateur Ă©talĂ©e sur sept ans, visant Chrome et Edge, ayant infectĂ© 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor Ă  exĂ©cution de code Ă  distance (RCE). ‱ Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, Ă©diteurs nuggetsno15 et rocket Zhang) : fraude Ă  l’affiliation (injection de codes affiliĂ©s eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (dĂ©but 2024) – DĂ©tournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffrĂ©). Phase 3 (milieu 2024) – La « longue traque » : extensions lĂ©gitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisĂ©es via mise Ă  jour silencieuse aprĂšs accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchĂ©s par un backdoor RCE commun Ă  5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab æ–°æ ‡ç­ŸéĄ” Ă  3 M) ; opĂ©ration toujours active au moment du rapport. ‱ CapacitĂ©s et impacts clĂ©s : ...

2 dĂ©cembre 2025 Â· 3 min

SmartTube compromis : vol de clés de signature et mise à jour malveillante sur Android TV

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a Ă©tĂ© compromis aprĂšs qu’un attaquant a obtenu les clĂ©s de signature du dĂ©veloppeur, poussant une mise Ă  jour malveillante vers les utilisateurs. Play Protect a commencĂ© Ă  bloquer l’application, et le dĂ©veloppeur, Yuriy Yuliskov, a confirmĂ© la compromission, a rĂ©voquĂ© l’ancienne signature et prĂ©voit une nouvelle version avec un nouvel ID d’application. đŸ€–đŸ”‘ Sur la version 30.51, un utilisateur a identifiĂ© une bibliothĂšque native cachĂ©e, « libalphasdk.so » (absente du code source public), injectĂ©e dans les builds de release. Cette bibliothĂšque s’exĂ©cute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprĂšs d’un backend distant, et envoie pĂ©riodiquement des mĂ©triques tout en rĂ©cupĂ©rant une configuration via un canal chiffrĂ©. Aucune preuve d’activitĂ©s plus intrusives (vol de comptes, DDoS) n’est rapportĂ©e, mais le risque d’escalade reste Ă©levĂ©. ⚠ ...

2 dĂ©cembre 2025 Â· 3 min

Zendesk visé par une campagne de Scattered Lapsus$ Hunters: typosquatting, faux SSO et tickets piégés

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattĂ©s et des techniques de phishing multi‑volets. ReliaQuest a identifiĂ© plus de 40 domaines typosquattĂ©s/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hĂ©bergent des faux portails SSO affichĂ©s avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroĂźtre la crĂ©dibilitĂ©. Des similaritĂ©s avec une campagne d’aoĂ»t 2025 contre Salesforce sont relevĂ©es (formatage des domaines, caractĂ©ristiques d’enregistrement, portails SSO trompeurs). ...

2 dĂ©cembre 2025 Â· 3 min

Le GCSP analyse la montĂ©e des opĂ©rations cyber offensives et les risques d’escalade

Source et contexte: GCSP (Geneva Centre for Security Policy) – Policy Brief No.22 de novembre 2025 par Dr Gazmend Huskaj. Le document dresse un panorama global des opĂ©rations de cyberspace offensives, analyse les risques de mauvaise attribution et d’escalade, met en lumiĂšre les angles morts juridiques, et formule des recommandations pour renforcer la stabilitĂ© et la coopĂ©ration internationale. Principaux constats: La capacitĂ© Ă  mener des opĂ©rations cyber offensives s’est largement diffusĂ©e (au moins 40 États dĂšs 2019, x4 depuis 2011), abaissant la barriĂšre d’entrĂ©e et « nivelant » le rapport de forces. Des exemples marquants illustrent l’impact disproportionnĂ© de certains acteurs: WannaCry (2017, rançongiciel) attribuĂ© Ă  la CorĂ©e du Nord, attaques iraniennes (2022) contre l’Albanie, et intrusion supply‑chain SolarWinds (2021) liĂ©e Ă  l’écosystĂšme du renseignement russe. Les grandes puissances et alliances adaptent leurs doctrines: OTAN (cyber reconnu comme domaine opĂ©rationnel, Cyberspace Operations Centre IOC en 2023, emploi de « sovereign cyber effects »), doctrines de persistent engagement et defend forward; unitĂ©s dĂ©diĂ©es au Royaume‑Uni (National Cyber Force) et en Allemagne. La compĂ©tition autour des zero‑days et l’opacitĂ© des autoritĂ©s de dĂ©cision entretiennent les risques. ...

1 dĂ©cembre 2025 Â· 3 min

CSS/ETH Zurich recense 237 opérations cyber contre le secteur spatial liées à la guerre de Gaza

Source: Center for Security Studies (CSS), ETH ZĂŒrich — Ce rapport (novembre 2025) cartographie et analyse les opĂ©rations cyber visant le secteur spatial dans le contexte de la guerre de Gaza (et recoupements avec Ukraine et IsraĂ«l–Iran), en s’appuyant sur un jeu de donnĂ©es de 237 Ă©vĂ©nements. Principaux constats: 237 opĂ©rations identifiĂ©es; 71% de DDoS; aucune compromission confirmĂ©e de satellites en orbite (impacts concentrĂ©s sur les segments utilisateur, contrĂŽle et interfaces web). Au total 77 entitĂ©s spatiales ciblĂ©es et 73 groupes impliquĂ©s, majoritairement des hacktivistes pro‑palestiniens; pic d’activitĂ© de 72 opĂ©rations durant la guerre IsraĂ«l–Iran (juin 2025); effet limitĂ© sur le champ de bataille cinĂ©tique. ...

30 novembre 2025 Â· 3 min

KawaiiGPT : un clone gratuit de « WormGPT » contournant les garde-fous via wrappers API et jailbreak

Selon GBHackers, un nouvel outil open source nommĂ© KawaiiGPT est apparu sur GitHub, se prĂ©sentant comme une version « kawaii » et non filtrĂ©e d’une IA, et comme un clone gratuit de « WormGPT ». KawaiiGPT fonctionne comme un wrapper: il ne calcule pas lui‑mĂȘme mais relaie les rĂ©ponses de DeepSeek, Gemini et Kimi‑K2. Il s’appuie sur une ingĂ©nierie inverse de wrappers d’API (provenant du projet Pollinations) pour accĂ©der Ă  ces modĂšles sans clĂ©s officielles, et peut ĂȘtre utilisĂ© gratuitement sur Linux ou Termux sans inscription. ...

30 novembre 2025 Â· 2 min

Pologne: arrestation d’un Russe soupçonnĂ© d’avoir piratĂ© des bases de donnĂ©es de boutiques en ligne

Selon RMF FM (rmf24.pl), les services polonais du Centralne Biuro Zwalczania Cyberprzestępczoƛci (CBZC) de Cracovie ont arrĂȘtĂ© un citoyen russe soupçonnĂ© d’attaques contre des boutiques en ligne, impliquant des intrusions et des manipulations de bases de donnĂ©es. L’homme a Ă©tĂ© interpellĂ© le 16 novembre. Les autoritĂ©s ont Ă©tabli qu’il avait franchi illĂ©galement la frontiĂšre polonaise en 2022 et obtenu le statut de rĂ©fugiĂ© en 2023. D’aprĂšs le parquet, il aurait brisĂ© les mĂ©canismes de sĂ©curitĂ© de magasins en ligne en exploitant des vulnĂ©rabilitĂ©s (« luki w systemach »), puis accĂ©dĂ© et interfĂ©rĂ© avec les bases de donnĂ©es stockĂ©es par ces services. ...

30 novembre 2025 Â· 1 min

Des scripts bootstrap obsolĂštes exposent PyPI Ă  des prises de contrĂŽle de domaine

Source: ReversingLabs — Dans un billet de recherche, les auteurs dĂ©taillent comment des scripts bootstrap historiques liĂ©s Ă  zc.buildout et Ă  l’ancien Ă©cosystĂšme setuptools/distribute exposent des paquets PyPI Ă  un scĂ©nario de prise de contrĂŽle de domaine. Des chercheurs de ReversingLabs ont identifiĂ© du code vulnĂ©rable dans des scripts bootstrap qui, lors de leur exĂ©cution, rĂ©cupĂšrent et exĂ©cutent un installateur de « distribute » depuis python-distribute[.]org — un domaine abandonnĂ© et Ă  vendre depuis 2014. Cette dĂ©pendance Ă  un domaine codĂ© en dur crĂ©e une fenĂȘtre pour une prise de contrĂŽle de domaine menant Ă  l’exĂ©cution de code arbitraire si un attaquant rachĂšte le domaine et y sert un script malveillant. ⚠ ...

29 novembre 2025 Â· 3 min

GreyNoise lance un scanner gratuit pour vérifier si votre IP participe à un botnet

Source: BleepingComputer — GreyNoise Labs a annoncĂ© « GreyNoise IP Check », un outil gratuit permettant de vĂ©rifier si une adresse IP a Ă©tĂ© vue dans des opĂ©rations de scan malveillant, notamment issues de botnets et de rĂ©seaux de proxies rĂ©sidentiels. GreyNoise explique que les rĂ©seaux de proxies rĂ©sidentiels ont fortement augmentĂ© l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrĂ©s par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nƓuds d’infrastructure. ...

29 novembre 2025 Â· 2 min

Simulation chinoise: un essaim EW pourrait brouiller Starlink Ă  l’échelle de TaĂŻwan

Selon Interesting Engineering (23 novembre 2025), des chercheurs chinois ont publiĂ© le 5 novembre dans la revue Ă  comitĂ© de lecture Systems Engineering and Electronics une simulation dĂ©taillant comment brouiller Starlink Ă  l’échelle d’un théùtre d’opĂ©rations comparable Ă  TaĂŻwan. Les auteurs soulignent que l’obstacle majeur est la dynamique du rĂ©seau Starlink: des milliers de satellites LEO Ă  gĂ©omĂ©trie changeante, des sauts de frĂ©quence, un routage adaptatif et des liaisons utilisateur qui basculent rapidement entre plusieurs satellites. Cette nature mouvante rend le suivi et l’interfĂ©rence des downlinks beaucoup plus difficiles que pour des systĂšmes GEO classiques. ...

29 novembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝