Domino Effect: UNC6395 a exploitĂ© un jeton OAuth volĂ© via GitHub pour compromettre l’intĂ©gration AI Salesloft‑Drift et exfiltrer des donnĂ©es

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intĂ©gration AI Salesloft‑Drift a permis Ă  l’acteur UNC6395 d’orchestrer une attaque supply chain Ă  grande Ă©chelle. — L’attaque a dĂ©butĂ© par la compromission du rĂ©fĂ©rentiel GitHub de Salesloft, d’oĂč un jeton OAuth associĂ© Ă  leur compte Drift a Ă©tĂ© dĂ©robĂ©. Les assaillants ont ensuite pivotĂ© vers des instances Salesforce connectĂ©es pour procĂ©der Ă  l’exfiltration de donnĂ©es. L’abus des modĂšles d’accĂšs larges et de l’architecture de confiance des applications d’IA a permis Ă  la campagne de rester indĂ©tectĂ©e pendant des mois. ...

25 septembre 2025 Â· 2 min

Escalade de privilÚges croisée entre agents IA via écrasement de configurations

Source: Embrace The Red — Une recherche met en Ă©vidence un nouveau schĂ©ma de vulnĂ©rabilitĂ© oĂč des agents IA de codage, opĂ©rant dans un mĂȘme environnement, peuvent s’accorder mutuellement des privilĂšges en altĂ©rant leurs fichiers de configuration. 🚹 L’étude dĂ©crit une chaĂźne d’attaque dĂ©butant par une injection de prompt indirecte compromettant un premier agent. Celui-ci Ă©crase les configurations d’un autre agent (p. ex. MCP de Claude Code) afin d’y ajouter des serveurs malveillants ou de modifier ses instructions, conduisant Ă  une exĂ©cution de code arbitraire ou Ă  des capacitĂ©s Ă©largies lors du rechargement des paramĂštres. ...

25 septembre 2025 Â· 2 min

La CISA amĂ©ricaine a publiĂ© une alerte urgente concernant concernant une attaque de chaĂźne d’approvisionnement logicielle baptisĂ©e Shai-Hulud

Selon The Record, la semaine derniĂšre, des experts en cybersĂ©curitĂ© et des entreprises technologiques ont tirĂ© la sonnette d’alarme au sujet d’une vaste compromission de la chaĂźne d’approvisionnement logicielle. Au cƓur de l’incident se trouve Shai-Hulud, un ver auto-rĂ©plicant utilisĂ© pour infecter plus de 500 paquets intĂ©grĂ©s Ă  divers logiciels. 🐛 La CISA a publiĂ© une alerte urgente concernant une attaque de chaĂźne d’approvisionnement logicielle baptisĂ©e Shai-Hulud, qui a compromis plus de 500 packages npm utilisĂ©s par des dĂ©veloppeurs Ă  travers le monde. Cette attaque repose sur un ver auto-rĂ©plicatif capable d’insĂ©rer du code malveillant dans des bibliothĂšques logicielles, compromettant ainsi les projets qui les utilisent. Une fois en place, le malware volait des identifiants sensibles (tokens GitHub, clĂ©s API de services cloud, etc.) et les diffusait publiquement, permettant aux attaquants de prendre le contrĂŽle d’autres environnements de dĂ©veloppement. ...

25 septembre 2025 Â· 2 min

Microsoft DART neutralise deux attaques sophistiquées visant le retail via failles SharePoint

Source: Microsoft Security Blog — Microsoft dĂ©crit l’intervention de son Ă©quipe DART pour contenir deux cyberattaques sophistiquĂ©es ciblant des organisations du secteur retail. Les assaillants ont exploitĂ© des vulnĂ©rabilitĂ©s SharePoint (CVE-2025-49706, CVE-2025-49704) pour dĂ©poser des web shells ASPX, conduisant Ă  de la spoofing d’identitĂ© et de l’injection de code Ă  distance. L’objectif opĂ©rationnel incluait la prise de contrĂŽle d’identitĂ©s et la persistance dans l’environnement cible. ⚠ Pour maintenir la prĂ©sence malveillante, les acteurs ont utilisĂ© Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe d’un enchaĂźnement TTPs visant mobilitĂ© latĂ©rale et Ă©vasion. 🧭 ...

25 septembre 2025 Â· 2 min

Phishing ciblant Facebook Business en s’appuyant sur l’infrastructure Salesforce

Source: D3Lab. Dans les derniers jours, l’équipe Cyber Threat Intelligence de D3Lab a dĂ©tectĂ© une campagne de phishing visant Facebook Business. L’élĂ©ment mis en avant est l’utilisation de l’infrastructure de Salesforce — un des principaux CRM au monde — comme vecteur, ce qui rend la campagne particuliĂšrement insidieuse. đŸŽŁâ˜ïž Une rĂ©cente campagne de phishing ciblant Facebook Business a Ă©tĂ© dĂ©tectĂ©e, exploitant de façon ingĂ©nieuse l’infrastructure lĂ©gitime de Salesforce. Les emails frauduleux proviennent d’adresses totalement authentiques comme noreply@salesforce.com et parviennent Ă  passer tous les contrĂŽles de sĂ©curitĂ© standards (SPF), ce qui les rend particuliĂšrement difficiles Ă  identifier et bloquer. Les cybercriminels obtiennent un accĂšs Ă  Salesforce via l’offre de dĂ©monstration gratuite, puis l’utilisent pour envoyer des notifications qui semblent officielles et fiables. ...

25 septembre 2025 Â· 2 min

Trend Micro détaille trois vecteurs de compromission des LLM : code embarqué, empoisonnement des données et LoRA malveillantes

Source : Trend Micro (Emerging Technology Security). Le billet prĂ©sente une analyse des techniques de compromission des modĂšles de langage et insiste sur une dĂ©marche de sĂ©curitĂ© « verify, then trust » pour protĂ©ger la chaĂźne d’approvisionnement IA. L’analyse met en avant trois mĂ©thodes clĂ©s de compromission : l’injection de code malveillant dans les fichiers de modĂšles (notamment via des vulnĂ©rabilitĂ©s de sĂ©rialisation pickle), des adapteurs LoRA malveillants capables de manipuler le comportement du modĂšle, et l’empoisonnement des donnĂ©es de formation pour implanter des portes dĂ©robĂ©es. Elle Ă©voque Ă©galement des attaques par ré‑entraĂźnement direct du modĂšle. 🔎 ...

25 septembre 2025 Â· 2 min

Unit 42 attribue le malware Bookworm à l’APT chinois Stately Taurus

Selon Unit 42 (Palo Alto Networks), cette Ă©tude applique leur Attribution Framework pour relier de façon probante la famille de malware Bookworm au groupe APT chinois Stately Taurus, avec un score de confiance de 58,4 (systĂšme Admiralty). Les chercheurs dĂ©crivent Bookworm, un RAT modulaire actif depuis 2015, comme un outil clĂ© des opĂ©rations de cyberespionnage de Stately Taurus visant des entitĂ©s gouvernementales et commerciales en Europe et en Asie. L’attribution s’appuie sur une analyse combinant artefacts du malware, chevauchements d’infrastructure, schĂ©mas opĂ©rationnels et victimologie. ...

25 septembre 2025 Â· 2 min

ShadowLeak : exfiltration zero‑click cĂŽtĂ© service via l’agent Deep Research de ChatGPT

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connectĂ© Ă  Gmail et Ă  la navigation web, permettant une exfiltration de donnĂ©es cĂŽtĂ© service depuis l’infrastructure d’OpenAI. L’attaque, basĂ©e sur une injection indirecte de prompt camouflĂ©e dans le HTML d’un email, a atteint un taux de rĂ©ussite de 100% avant correction et a Ă©tĂ© corrigĂ©e par OpenAI dĂ©but aoĂ»t 2025. ...

24 septembre 2025 Â· 3 min

Warlock (GOLD SALEM) : une opération ransomware exploite SharePoint et contourne les EDR

Selon le Counter Threat Unit (CTU), le groupe se prĂ©sentant comme Warlock Group (suivi comme GOLD SALEM) mĂšne depuis mars 2025 des intrusions suivies du dĂ©ploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et Ă©voque avec « confiance modĂ©rĂ©e » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’élĂ©ments suffisants. 🚹 ActivitĂ© et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes Ă  la mi-septembre 2025, de petites entitĂ©s jusqu’à de grands groupes, en AmĂ©rique du Nord, Europe et AmĂ©rique du Sud. Le groupe publie des donnĂ©es pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrĂ©es ayant Ă©tĂ© retirĂ©es. Il a surtout Ă©vitĂ© Chine et Russie, mais a listĂ© le 8 septembre une entreprise russe du secteur de l’ingĂ©nierie pour la production Ă©lectrique, ce qui suggĂšre une activitĂ© hors de cette juridiction. Le DLS est alimentĂ© par vagues avec une date « countdown » Ă  J+12/14, et inclut parfois des victimes dĂ©jĂ  exposĂ©es par d’autres opĂ©rations ransomware, illustrant des accĂšs revendus ou des compromissions rĂ©pĂ©tĂ©es. ...

24 septembre 2025 Â· 3 min

Campagne massive visant macOS via GitHub Pages pour diffuser le voleur Atomic (AMOS)

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dĂ©pĂŽts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tĂȘte des rĂ©sultats de recherche, et LastPass partage des IoCs et mĂšne des actions de retrait auprĂšs de GitHub. 🚹 DĂ©tails clĂ©s: deux pages GitHub usurpant LastPass ont Ă©tĂ© créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrĂ©es avec le nom de l’entreprise et des termes liĂ©s Ă  macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodĂ©e Base64 qui dĂ©code en bonoud[.]com/get3/install.sh, tĂ©lĂ©charge un premier payload, puis un binaire “Update” dans le rĂ©pertoire Temp, qui est en rĂ©alitĂ© Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

23 septembre 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝