International

Source: ReversingLabs — Dans un billet de recherche, les auteurs détaillent comment des scripts bootstrap historiques liés à zc.buildout et à l’ancien écosystème setuptools/distribute exposent des paquets PyPI à un scénario de prise de contrôle de domaine. Des chercheurs de ReversingLabs ont identifié du code vulnérable dans des scripts bootstrap qui, lors de leur exécution, récupèrent et exécutent un installateur de « distribute » depuis python-distribute[.]org — un domaine abandonné et à vendre depuis 2014. Cette dépendance à un domaine codé en dur crée une fenêtre pour une prise de contrôle de domaine menant à l’exécution de code arbitraire si un attaquant rachète le domaine et y sert un script malveillant. ⚠️ ...

Source: BleepingComputer — GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels. GreyNoise explique que les réseaux de proxies résidentiels ont fortement augmenté l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrés par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nœuds d’infrastructure. ...

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h. ...

Source: KELA Cyber — Mise à jour publiée le 27 novembre 2025. KELA confirme et étend son enquête initiale (27 mars 2025) ayant « démasqué » Rey, désormais validée par des reprises médiatiques dont un billet détaillé de Brian Krebs. L’équipe continue de suivre ses activités, notamment comme figure clé au sein des Scattered LAPSUS$ Hunters, et récapitule les liens OSINT qui associent Rey et son co-fondateur Pryx aux opérations du groupe Hellcat. ...

Selon mixpanel.com, Mixpanel a publié une note d’information transparente sur un incident de sécurité détecté le 8 novembre 2025, impliquant une campagne de smishing qui a touché un nombre limité de clients. L’entreprise affirme avoir activé sa réponse à incident et engagé des partenaires externes. Actions menées par Mixpanel: 🔐 Sécurisation des comptes affectés et rotation des identifiants compromis pour les comptes impactés. 🚫 Révocation de toutes les sessions et connexions actives. ⛔ Blocage d’adresses IP malveillantes et enregistrement des IOCs dans le SIEM. 🕵️ Revue forensique des journaux d’authentification, de session et d’export sur les comptes concernés. 🧑‍💻 Réinitialisation globale des mots de passe pour tous les employés de Mixpanel. 🛡️ Implémentation de contrôles additionnels pour détecter et bloquer des activités similaires à l’avenir. 🤝 Engagement d’un cabinet de forensic tiers et coordination avec les forces de l’ordre. Communication et impact: ...

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés. Selon KrebsOnSecurity, un article d’enquête met au jour l’identité de « Rey », administrateur et visage public de Scattered LAPSUS$ Hunters (SLSH), un collectif mêlant Scattered Spider, LAPSUS$ et ShinyHunters, actif dans l’extorsion et la revente de données. ...

Selon l’AhnLab Security Intelligence Center (ASEC), dans un rapport publié la semaine dernière, des acteurs malveillants ont profité d’une vulnérabilité récemment corrigée dans Microsoft Windows Server Update Services (WSUS), identifiée comme CVE-2025-59287, pour distribuer le malware ShadowPad. Cible et vecteur initial : des serveurs Windows avec WSUS activé ont été visés, l’exploitation de CVE-2025-59287 servant à l’accès initial. Outils et charges : après l’intrusion, les attaquants ont utilisé PowerCat (outil open-source) et ont déployé ShadowPad. ...

Selon BleepingComputer, le projet Tor annonce un renforcement du chiffrement et de la sécurité du trafic des circuits en remplaçant l’ancien algorithme de chiffrement des relais « tor1 » par un nouveau design appelé « Counter Galois Onion » (CGO). Le changement clé est le remplacement de tor1 par CGO. L’objectif affiché est d’améliorer le chiffrement et la sécurité du trafic des circuits sur le réseau Tor. 🔐 Cet article informe d’une évolution technique du protocole de relais de Tor, sans détails supplémentaires sur le fonctionnement interne de CGO ou un calendrier de déploiement dans l’extrait fourni. ...

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie. ...

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$. CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes. ...