DĂ©mantĂšlement de l’opĂ©ration de fraude publicitaire Android « SlopAds » : 224 apps malveillantes sur Google Play

Selon BleepingComputer, une opĂ©ration massive de fraude publicitaire mobile baptisĂ©e « SlopAds » a Ă©tĂ© perturbĂ©e, aprĂšs la dĂ©couverte de 224 applications Android malveillantes sur Google Play gĂ©nĂ©rant un volume colossal de trafic publicitaire. ‱ Type d’attaque: fraude publicitaire (ad fraud) impliquant des applications Android. ‱ Vecteur et pĂ©rimĂštre: 224 applications malveillantes distribuĂ©es via Google Play ont Ă©tĂ© utilisĂ©es pour fabriquer du trafic publicitaire. ‱ Impact quantitatif: jusqu’à 2,3 milliards de requĂȘtes publicitaires par jour, illustrant l’ampleur de l’opĂ©ration đŸ€–đŸ“ˆ. ...

17 septembre 2025 Â· 1 min

FBI: Scattered Spider et ShinyHunters extorquent via des accÚs Salesforce et apps connectées

Selon The Record (Recorded Future News), le FBI a publiĂ© un avis flash dĂ©crivant une campagne de vol de donnĂ©es et d’extorsion visant des centaines d’organisations, attribuĂ©e Ă  Scattered Spider (UNC6395) et ShinyHunters (UNC6040), aprĂšs compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisĂ© de l’ingĂ©nierie sociale en se faisant passer pour des employĂ©s IT auprĂšs des centres d’appels afin d’obtenir des identifiants, puis accĂ©der aux donnĂ©es clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrĂŽle de tĂ©lĂ©phones ou ordinateurs d’employĂ©s. ...

17 septembre 2025 Â· 3 min

Google confirme la crĂ©ation d’un compte frauduleux dans sa plateforme LERS, utilisĂ©e par les forces de l’ordre pour envoyer des demandes officielles de donnĂ©es.

Selon BleepingComputer, Google a confirmĂ© que des cybercriminels ont rĂ©ussi Ă  crĂ©er un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisĂ©e par les forces de l’ordre pour soumettre des demandes officielles de donnĂ©es Ă  l’entreprise. Le cƓur de l’affaire porte sur l’usurpation/crĂ©ation illĂ©gitime d’un compte au sein d’un systĂšme sensible servant d’interface entre Google et les autoritĂ©s, ce qui soulĂšve des prĂ©occupations quant Ă  l’intĂ©gritĂ© des canaux de demande de donnĂ©es. ...

17 septembre 2025 Â· 1 min

OFAC sanctionne un rĂ©seau iranien de crypto-banques de l’ombre liĂ© Ă  l’IRGC-QF (100 M$)

Selon Chainalysis, l’OFAC (TrĂ©sor amĂ©ricain) a sanctionnĂ© deux intermĂ©diaires financiers iraniens et un rĂ©seau de sociĂ©tĂ©s Ă©crans pour avoir coordonnĂ© plus de 100 M$ de transactions en cryptomonnaies au profit de l’IRGC-Quds Force et du ministĂšre iranien de la DĂ©fense. L’activitĂ© s’appuyait sur des structures Ă  Hong Kong et aux Émirats arabes unis, illustrant l’usage combinĂ© de cryptomonnaies et de shadow banking pour contourner les sanctions. 🚹 Sur le plan technique, le rĂ©seau a orchestrĂ© des achats de crypto (>100 M$) liĂ©s aux ventes de pĂ©trole iranien sur la pĂ©riode 2023–2025, tandis que les adresses dĂ©signĂ©es prĂ©sentent des inflows totaux >600 M$. Les opĂ©rateurs clĂ©s, Alireza Derakhshan et Arash Estaki Alivand, ont agi sur plusieurs blockchains (Ethereum, Tron) via des adresses dĂ©sormais identifiĂ©es par l’OFAC. 💰🔗 ...

17 septembre 2025 Â· 2 min

RRM Canada signale une opĂ©ration de « hack-and-leak » d’Handala visant des journalistes d’Iran International

Selon Global Affairs Canada (Rapid Response Mechanism Canada), note du 12 septembre 2025, une opĂ©ration de hack-and-leak attribuĂ©e au groupe liĂ© Ă  l’Iran Handala Hack Team a visĂ© cinq journalistes d’Iran International, dont un basĂ© au Canada. L’activitĂ© aurait dĂ©marrĂ© le 8 juillet 2025. Les auteurs ont publiĂ© des photos de piĂšces d’identitĂ© officielles (passeports, cartes de rĂ©sident permanent, permis de conduire), des mots de passe d’adresses e‑mail ainsi que des photos/vidĂ©os intimes. La fuite a d’abord Ă©tĂ© mise en ligne sur le site de Handala puis relayĂ©e via Telegram, X, Facebook, Instagram et des sites d’actualitĂ©s iraniens. RRM Canada a dĂ©tectĂ© l’opĂ©ration le 9 juillet 2025 aprĂšs une diffusion initiale sur un canal Telegram associĂ©, puis de nouvelles publications le 11 juillet 2025 ciblant notamment un rĂ©sident canadien. ...

17 septembre 2025 Â· 2 min

Sécurité MCP : Trend Micro révÚle des serveurs exposés et des risques de supply chain, la conteneurisation comme rempart

Source : Trend Micro — Dans une publication de recherche sur la sĂ©curitĂ© des dĂ©ploiements Model Context Protocol (MCP), l’éditeur analyse plus de 22 000 dĂ©pĂŽts et dĂ©montre comment la conteneurisation peut rĂ©duire les risques qui pĂšsent sur les charges de travail IA. L’étude met en Ă©vidence des lacunes critiques, notamment des serveurs MCP exposĂ©s, une authentification faible, des fuites d’identifiants, ainsi que des risques de chaĂźne d’approvisionnement liĂ©s Ă  des dĂ©pĂŽts abandonnĂ©s. Elle fournit des recommandations concrĂštes pour appliquer le moindre privilĂšge, isoler correctement les conteneurs et dĂ©ployer en sĂ©curitĂ© les serveurs MCP afin de protĂ©ger les workloads IA contre l’exploitation. ...

17 septembre 2025 Â· 2 min

Shai-Hulud : un ver NPM vole des tokens et publie des secrets sur GitHub

Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystĂšme NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clĂ©s cloud, etc.) et exfiltre ces secrets en les publiant dans des dĂ©pĂŽts GitHub publics. Au moins 187 paquets NPM ont Ă©tĂ© touchĂ©s, dont des paquets liĂ©s Ă  CrowdStrike (rapidement retirĂ©s par le registre NPM). Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, dĂ©clenchant une propagation en chaĂźne. Il utilise l’outil open source TruffleHog pour dĂ©tecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de crĂ©er de nouvelles GitHub Actions et publie les donnĂ©es volĂ©es. Le design cible Linux/macOS et ignore Windows. ...

17 septembre 2025 Â· 3 min

Shai-Hulud : une campagne de malware « wormable » contamine 180+ paquets npm via identifiants volés

Selon Sonatype, une campagne de malware wormable baptisĂ©e Shai-Hulud a compromis plus de 180 paquets npm en abusant d’identifiants de mainteneurs volĂ©s. L’opĂ©ration combine automatisation (IA), vol de credentials, exfiltration via GitHub et empoisonnement de packages pour une propagation rapide dans la chaĂźne d’approvisionnement logicielle. Le fonctionnement est multi-Ă©tapes : collecte de credentials sur postes dĂ©veloppeurs et environnements CI, exfiltration des donnĂ©es vers webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7, crĂ©ation automatisĂ©e de dĂ©pĂŽts GitHub nommĂ©s “Shai-Hulud” contenant les secrets dĂ©robĂ©s, puis injection d’un workflow GitHub Actions (.github/workflows/shai-hulud-workflow.yml) pour la persistance. ...

17 septembre 2025 Â· 2 min

TA415 abuse des tunnels distants de VS Code via spearphishing pour un accĂšs persistant furtif

Source: Proofpoint — Dans le cadre d’opĂ©rations menĂ©es en juillet et aoĂ»t 2025, l’acteur Ă©tatique chinois TA415 (associĂ© Ă  APT41) a ciblĂ© des organismes gouvernementaux amĂ©ricains, des think tanks et des institutions acadĂ©miques focalisĂ©s sur les relations États-Unis–Chine. Les attaquants ont usurpĂ© l’identitĂ© de hauts responsables, dont la prĂ©sidence du Select Committee on Strategic Competition et l’US-China Business Council, pour livrer des charges menant Ă  la mise en place de VS Code Remote Tunnels. Cette approche illustre un virage notable vers des techniques de living-off-the-land s’appuyant sur des services lĂ©gitimes pour le C2. 🎯 ...

17 septembre 2025 Â· 2 min

Compromission de @ctrl/tinycolor et de 40+ paquets npm avec propagation et exfiltration de secrets

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ tĂ©lĂ©chargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. DĂ©couvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exĂ©cute lors de npm install (probable postinstall dĂ©tournĂ©) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exĂ©cutĂ© de façon asynchrone. Il rĂ©alise une reconnaissance du systĂšme (plateforme, architecture) et exfiltre l’intĂ©gralitĂ© de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exĂ©cution de TruffleHog). ...

16 septembre 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝