Faux package npm « postmark-mcp » détourne des emails via BCC en usurpant Postmark

Un acteur malveillant a publiĂ© sur npm un package frauduleux nommĂ© « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mĂ©canisme de BCC cachĂ©. Postmark prĂ©cise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectĂ©s. L’attaquant a d’abord Ă©tabli la confiance en publiant plus de 15 versions du package, puis a introduit une porte dĂ©robĂ©e dans la version 1.0.16 qui ajoutait en BCC les emails Ă  un serveur externe. Cette activitĂ© visait Ă  exfiltrer des contenus d’emails envoyĂ©s par les utilisateurs du package. ...

30 septembre 2025 Â· 2 min

FlipSwitch : une nouvelle technique de rootkit contourne le dispatch des syscalls de Linux 6.9

Source : Elastic Security Labs — Des chercheurs prĂ©sentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mĂ©canisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacĂ© la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette dĂ©fense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), Ă©vitant toute dĂ©pendance Ă  la sys_call_table dĂ©sormais non utilisĂ©e pour le routage effectif. ...

30 septembre 2025 Â· 2 min

Fuite de donnĂ©es: le rĂ©seau crypto A7 d’Ilan Shor, appuyĂ© par des ex-banques russes, sert l’évasion de sanctions et l’ingĂ©rence

Selon reporter.london (en collaboration avec Context.ro), une fuite de donnĂ©es liĂ©e Ă  Anykey LLC expose en dĂ©tail le rĂ©seau crypto et de paiements A7 pilotĂ© par l’homme d’affaires moldave en fuite Ilan Shor, adossĂ© Ă  des cadres issus de grandes banques russes et connectĂ© Ă  des opĂ©rations d’ingĂ©rence. Le Financial Times avait prĂ©cĂ©demment estimĂ© Ă  9 milliards de dollars les transactions du stablecoin A7A5 dans les quatre premiers mois. ‱ Acteurs et infrastructure clĂ©s 🔧 Les documents internes mentionnent des ex-chefs de dĂ©partement de Sberbank, Vnesheconombank (VEB) et Russian Standard comme cadres d’A7. A7 a Ă©tĂ© lancĂ© avec la banque de dĂ©fense russe Promsvyazbank (PSB) et inclut le stablecoin adossĂ© au rouble A7A5. Le 3 septembre, Vladimir Poutine a inaugurĂ© Ă  Vladivostok le nouveau centre international de traitement des paiements d’A7 aux cĂŽtĂ©s d’Ilan Shor et du prĂ©sident de PSB, Pyotr Fradkov. La fuite, attribuĂ©e Ă  la sociĂ©tĂ© IT moscovite Anykey LLC, validĂ©e par l’agence moldave IPN, montre aussi un Ă©cosystĂšme d’environ 500 personnes reliant A7, l’ONG Evraziya, et des brokers financiers au Kirghizstan. ...

30 septembre 2025 Â· 3 min

Intrusion de 2 mois attribuĂ©e Ă  LUNAR SPIDER: chaĂźne Latrodectus → Brute Ratel → Cobalt Strike et exfiltration via rclone

Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, dĂ©marrĂ© par l’exĂ©cution d’un JavaScript Latrodectus 1.3 dĂ©guisĂ© en formulaire fiscal W‑9, menant au dĂ©ploiement de Brute Ratel puis Cobalt Strike, et Ă  une prĂ©sence quasi continue durant prĂšs de deux mois. ‱ ChaĂźne d’intrusion: un JS fortement obfusquĂ© tĂ©lĂ©charge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et Ă©tablit des C2 (souvent derriĂšre Cloudflare). Le stealer Latrodectus est rĂ©cupĂ©rĂ©, puis, ~1 h aprĂšs l’accĂšs initial, dĂ©but de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h aprĂšs, mise en place d’un BackConnect/VNC opĂ©rationnel pour navigation, dĂ©pĂŽts d’outils et contrĂŽle Ă  distance. ...

30 septembre 2025 Â· 3 min

iOS: vulnĂ©rabilitĂ© UAF dans CoreMedia/MediaToolbox menant Ă  l’exĂ©cution de code dans mediaplaybackd (exploitation avant iOS 17.2)

Source: GitHub (b1n4r1b01). Contexte: billet technique dĂ©crivant une vulnĂ©rabilitĂ© CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-systĂšme Remaker de MediaToolbox.framework, due Ă  une mauvaise gestion de l’objet FigRemakerTrack conduisant Ă  un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID Ă©choue et le flux de contrĂŽle emprunte un chemin « buggy » oĂč FigRemakerTrack est libĂ©rĂ© alors que FigRemaker conserve une rĂ©fĂ©rence, ouvrant la voie Ă  une exĂ©cution de code dans le processus mediaplaybackd. La vulnĂ©rabilitĂ© est Ă©voquĂ©e dans le cadre des correctifs d’iOS 18.3, parmi les CVE liĂ©s Ă  CoreMedia, comme unique cas UAF dans ce lot. ...

30 septembre 2025 Â· 2 min

Klopatra : un trojan bancaire Android sophistiquĂ© protĂ©gĂ© par Virbox cible l’Espagne et l’Italie

Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommĂ© Klopatra, dotĂ© de capacitĂ©s de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblĂ© principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes. Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’AccessibilitĂ© Android pour obtenir un contrĂŽle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exĂ©cute des transactions frauduleuses en temps rĂ©el. ...

30 septembre 2025 Â· 3 min

Mandiant rĂ©vĂšle UNC6040 : vishing et abus d’apps OAuth pour exfiltrer des donnĂ©es Salesforce

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publiĂ© le 30 septembre, un acteur financier baptisĂ© UNC6040 mĂšne des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de donnĂ©es et l’extorsion. ChaĂźne d’attaque dĂ©crite: (1) Usurpation du support IT pour pousser les employĂ©s Ă  autoriser des apps connectĂ©es falsifiĂ©es, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immĂ©diate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latĂ©ral vers Okta/Microsoft 365. L’infrastructure observĂ©e inclut l’usage de Mullvad VPN. ...

30 septembre 2025 Â· 2 min

MatrixPDF transforme des PDF en vecteurs de phishing et de malware

Selon une analyse publiĂ©e par Varonis (blog), MatrixPDF est un toolkit de cybercriminalitĂ© qui convertit des fichiers PDF lĂ©gitimes en vecteurs de phishing et de livraison de malware. ‱ Ce kit permet d’embarquer du JavaScript malveillant, de crĂ©er de faux invites de documents sĂ©curisĂ©s, de flouter le contenu et de rediriger les victimes vers des sites d’hĂ©bergement de charges utiles. Il mise sur la confiance accordĂ©e aux PDF et sur des surcouches de social engineering pour inciter Ă  l’interaction. ...

30 septembre 2025 Â· 3 min

Okta: la Corée du Nord perfectionne son stratagÚme et étend ses cibles à des dizaines de pays

Selon The Record, Okta affirme dans de nouvelles recherches que la CorĂ©e du Nord a perfectionnĂ© un stratagĂšme visant des entreprises basĂ©es aux États-Unis et l’a Ă©tendu Ă  des dizaines de pays et plusieurs industries. Le rĂ©gime nord-corĂ©en Ă©tend rapidement son opĂ©ration de placement illĂ©gal de travailleurs IT au-delĂ  du secteur technologique amĂ©ricain, touchant dĂ©sormais des dizaines d’industries et plusieurs pays Ă  travers le monde. Cette campagne consiste Ă  infiltrer des entreprises via de faux profils et documents volĂ©s, obtenant ainsi des emplois Ă  distance bien rĂ©munĂ©rĂ©s pour contourner les sanctions Ă©conomiques et gĂ©nĂ©rer des millions de dollars au profit des programmes militaires de Pyongyang. ...

30 septembre 2025 Â· 2 min

PQC dans SSH et TLS : Forescout révÚle un retard critique des équipements non gérés

Selon Forescout (billet de blog rĂ©fĂ©rencĂ©), l’adoption de la cryptographie post-quantique (PQC) progresse cĂŽtĂ© serveurs SSH mais reste en net retrait sur les appareils non gĂ©rĂ©s, alors que les Ă©chĂ©ances de migration se situent entre 2030 et 2035. Principaux constats chiffrĂ©s 🔍 Support PQC sur serveurs SSH: 8,5% (26% pour OpenSSH) Adoption par type d’actifs: IT 42% vs IoT 20% vs OT/Ă©quipements rĂ©seau 11% vs IoMT 2% Secteurs les plus en retard: industries dĂ©pendantes d’actifs non gĂ©rĂ©s (manufacturing, oil & gas, mining) Urgences mises en avant: inventorier les actifs, classifier les donnĂ©es (longĂ©vitĂ©/sensibilitĂ©), Ă©tablir des feuilles de route de migration Équipements critiques vulnĂ©rables: routeurs et appliances VPN, cibles privilĂ©giĂ©es pour l’accĂšs privilĂ©giĂ© DĂ©tails techniques (SSH/TLS) 🔐 ...

30 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝