10 paquets npm typosquattĂ©s dĂ©ploient un voleur d’identifiants multi‑étapes

Selon Socket (socket.dev), l’équipe Threat Research a identifiĂ© 10 paquets npm typosquattĂ©s, publiĂ©s le 4 juillet 2025 et totalisant plus de 9 900 tĂ©lĂ©chargements en plus de quatre mois, qui orchestrent une opĂ©ration de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothĂšques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont Ă©tĂ© publiĂ©s par l’acteur « andrew_r1 ». Le vecteur d’exĂ©cution abuse du hook npm postinstall pour lancer un script install.js qui dĂ©tecte l’OS et ouvre un nouveau terminal afin d’exĂ©cuter un payload obfusquĂ© (app.js), masquant l’activitĂ© durant l’installation. Le code est protĂ©gĂ© par quatre couches d’obfuscation: wrapper eval auto‑dĂ©codant, XOR Ă  clĂ© dynamique dĂ©rivĂ©e du code du dĂ©chiffreur, encodage URL et obfuscation du flot de contrĂŽle (switch-case, bases mixtes hex/octal). ...

28 octobre 2025 Â· 3 min

Cisco Talos détaille Qilin, un RaaS trÚs actif en 2025 (40+ victimes/mois)

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiĂ©es par mois. L’analyse couvre ses secteurs ciblĂ©s, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisĂ©e pour les environnements virtualisĂ©s. ‱ PortĂ©e et cibles 🎯 Menace RaaS trĂšs prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchĂ©s : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectĂ©es : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de donnĂ©es), avec dĂ©ploiement de double encryptors pour maximiser l’impact sur rĂ©seaux et environnements virtualisĂ©s. ‱ ChaĂźne d’intrusion et vol d’identifiants 🔐 ...

27 octobre 2025 Â· 3 min

Fuite de données MyVidster : prÚs de 4 millions de comptes exposés

Selon Have I Been Pwned (HIBP), en octobre 2025, les donnĂ©es de prĂšs de 4 millions d’utilisateurs de MyVidster ont Ă©tĂ© publiĂ©es sur un forum de hacking public. L’incident est distinct de la violation de 2015 prĂ©cĂ©demment connue. 🔓 ‱ Type d’incident : fuite de donnĂ©es publiĂ©e sur un forum de hacking public. ‱ Impact : exposition de donnĂ©es d’environ 4 millions d’utilisateurs. ‱ DĂ©tails exposĂ©s : Pseudonymes (usernames) Adresses e‑mail Photos de profil (dans un petit nombre de cas) L’annonce prĂ©cise explicitement que cet incident est sĂ©parĂ© de la brĂšche de 2015, soulignant qu’il s’agit d’un nouvel Ă©vĂ©nement affectant MyVidster. ...

27 octobre 2025 Â· 1 min

Kaspersky rĂ©vĂšle le spyware commercial « Dante » de Memento Labs, liĂ© Ă  l’APT ForumTroll

Selon Kaspersky, ses chercheurs ont dĂ©couvert un spyware commercial jusqu’ici non identifiĂ© nommĂ© « Dante », attribuĂ© Ă  Memento Labs (anciennement Hacking Team), et l’ont reliĂ© aux attaques du groupe APT ForumTroll. đŸ•”ïž « Mem3nt0 mori » : retour de Hacking Team (Memento Labs) via l’espionnage ForumTroll et le spyware Dante Des chercheurs de Kaspersky ont dĂ©voilĂ© Operation ForumTroll, une campagne d’espionnage active depuis au moins 2022 visant mĂ©dias, universitĂ©s, centres de recherche, institutions publiques et financiĂšres en Russie et BiĂ©lorussie. L’infection dĂ©bute par des liens de hameçonnage personnalisĂ©s (invitations au forum Primakov Readings) : une simple visite via Chrome/Chromium suffisait, grĂące Ă  un 0-day d’évasion du bac Ă  sable corrigĂ© comme CVE-2025-2783. Le site malveillant validait la victime (WebGPU + ECDH) et livrait l’étape suivante chiffrĂ©e (AES-GCM). Firefox a corrigĂ© un schĂ©ma similaire (CVE-2025-2857). ...

27 octobre 2025 Â· 5 min

Qilin détourne Cyberduck pour exfiltrer des données via des services cloud

Selon l’extrait d’actualitĂ© fourni, des cas rĂ©cents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de donnĂ©es. Les attaquants tirent parti de services cloud lĂ©gitimes pour l’exfiltration đŸ“€, ce qui leur permet de camoufler leurs activitĂ©s au sein de domaines de confiance et de trafic web lĂ©gitime. Un artefact clĂ© mentionnĂ© est le fichier d’historique Cyberduck, qui indique l’usage d’un hĂŽte Backblaze comme destination ainsi que l’activation d’un paramĂštre personnalisĂ© de tĂ©lĂ©versements fractionnĂ©s/multipart afin de transfĂ©rer de gros fichiers ☁. ...

27 octobre 2025 Â· 2 min

AzureHound dĂ©tournĂ© pour l’énumĂ©ration et la cartographie d’escalade de privilĂšges dans Azure

Selon Unit 42 (Palo Alto Networks), des groupes menaçants dĂ©tournent l’outil open source AzureHound afin d’énumĂ©rer des ressources Azure et de cartographier des chemins d’escalade de privilĂšges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans prĂ©sence prĂ©alable dans l’environnement victime. 🔎 CapacitĂ©s et usage malveillant: AzureHound effectue la dĂ©couverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dĂ©robĂ©s. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des donnĂ©es sur les identitĂ©s, les permissions, le stockage et l’infrastructure cloud. ...

26 octobre 2025 Â· 2 min

Campagne d’extensions Chrome malveillantes ciblant des plateformes crypto (Axiom Enhancer, Photon Bot, Trenches Agent)

Selon SQRX Labs, des chercheurs ont dĂ©voilĂ© une campagne coordonnĂ©e impliquant trois extensions Chrome malveillantes — Axiom Enhancer, Photon Bot et Trenches Agent — visant des plateformes de trading de cryptomonnaies. Les extensions Ă©taient disponibles sur le Chrome Web Store au moment de la publication. Les chercheurs ont d’abord dĂ©couvert Axiom Enhancer en train de voler des cookies d’authentification et des donnĂ©es localStorage d’utilisateurs d’axiom.trade. Un pivot de domaines a rĂ©vĂ©lĂ© Photon Bot utilisant la mĂȘme infrastructure, puis l’analyse des mĂ©tadonnĂ©es a conduit Ă  Trenches Agent, un framework plus sophistiquĂ© et multi-cibles. Ce dernier rĂ©colte des identifiants sur plusieurs plateformes, dont Axiom, BullX, Photon, GMGN et Padre. Les trois extensions partagent des motifs de code cohĂ©rents, indiquant une mĂȘme paternitĂ©. 🚹 ...

26 octobre 2025 Â· 2 min

Convert Master : un browser hijacker diffusé via malvertising détourne les recherches Firefox (Mapilor/Retro Revive)

Selon l’analyse rĂ©fĂ©rencĂ©e par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribuĂ© via des publicitĂ©s Google malveillantes. Le malware rĂ©cupĂšre dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spĂ©cifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramĂštres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaĂźne de redirection: requĂȘte utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requĂȘtes et une potentielle exfiltration de donnĂ©es. 🧭 ...

26 octobre 2025 Â· 2 min

CoPhish : des agents Microsoft Copilot dĂ©tournĂ©s pour envoyer de fausses demandes d’autorisation OAuth

Selon BleepingComputer, une nouvelle technique de phishing baptisĂ©e « CoPhish » exploite des agents Microsoft Copilot Studio pour dĂ©livrer des demandes de consentement OAuth frauduleuses en s’appuyant sur des domaines Microsoft lĂ©gitimes et de confiance. Cette approche arme des agents Copilot Studio comme canal de diffusion, donnant Ă  la demande d’autorisation une apparence officielle. L’attaque cible spĂ©cifiquement le flux de consentement OAuth, oĂč l’utilisateur est incitĂ© Ă  valider une autorisation trompeuse. ...

26 octobre 2025 Â· 1 min

CoPhish abuse Microsoft Copilot Studio pour des demandes de consentement OAuth frauduleuses

Selon BleepingComputer, une nouvelle technique de phishing baptisĂ©e « CoPhish » a Ă©tĂ© observĂ©e. Cette mĂ©thode arme des agents Microsoft Copilot Studio pour envoyer des demandes de consentement OAuth frauduleuses, en passant par des domaines Microsoft lĂ©gitimes et de confiance. 🎯 L’objectif est de faire parvenir des requĂȘtes d’autorisation OAuth qui paraissent lĂ©gitimes, car servies depuis des domaines Microsoft reconnus. TTPs observĂ©s: Phishing Abus d’agents Microsoft Copilot Studio Fraude au consentement OAuth (OAuth consent phishing) Utilisation de domaines Microsoft lĂ©gitimes pour la livraison Il s’agit d’un article de presse spĂ©cialisĂ© visant Ă  informer sur l’émergence de cette nouvelle technique de phishing. ...

26 octobre 2025 Â· 1 min
Derniùre mise à jour le: 8 juillet 2026 📝