International

ReversingLabs publie une enquête sur une campagne active depuis février 2025 révélant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dépendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dépendances pré-packagées dans le dossier node_modules dont le contenu a été altéré par l’attaquant. La dépendance populaire path-is-absolute a été modifiée localement (sans impact sur le package npm officiel) pour ajouter du code déclenché au démarrage de VS Code, chargé de décoder un dropper JavaScript stocké dans un fichier nommé ’lock’ (obfuscation par base64 puis inversion de la chaîne). ...

Source: watchTowr (whitepaper publié suite à une présentation à Black Hat Europe 2025). Ce document de recherche expose une vulnérabilité d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL génère des proxies SOAP vulnérables menant à des écritures arbitraires de fichiers et à des compromissions. Le cœur du problème est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. Résultat: les classes dérivées (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent écrire sur le disque ou relayer NTLM au lieu d’émettre des requêtes HTTP/S. L’impact principal est une écriture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

Une publication technique décrit en détail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisées notamment par Next.js) due à des références de prototype non sécurisées lors de la désérialisation du protocole React Flight. — Contexte et cause racine — La désérialisation des “chunks” du protocole React Flight ne vérifiait pas, jusqu’à un commit correctif de React, si la clé demandée appartenait réellement à l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des références croisées entre chunks (dont la syntaxe spéciale pour récupérer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — Chaîne d’exploitation (vue d’ensemble) 🚨 — ...

Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles. GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025. ...

Selon Kaspersky Security Services (publication sur le site Kaspersky Digital Footprint Intelligence), des chercheurs ont étudié l’usage de Telegram par les cybercriminels, ses capacités techniques pour des opérations clandestines et le cycle de vie des chaînes illicites, en analysant plus de 800 chaînes bloquées entre 2021 et 2024. L’étude souligne que, vus par des cybercriminels, Telegram présente des limites en matière d’anonymat et d’indépendance: absence de chiffrement de bout en bout par défaut, infrastructure centralisée et code serveur fermé. Malgré ces faiblesses, la plateforme est largement utilisée comme place de marché clandestine grâce à des fonctionnalités qui facilitent l’activité underground. ...

Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique. • Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7). ...

Source et contexte — BleepingComputer (Lawrence Abrams, 6 déc. 2025) signale une exploitation à grande échelle de React2Shell (CVE-2025-55182), une faille de désérialisation non sécurisée dans React Server Components (touchant aussi Next.js), permettant une exécution de code à distance (RCE) non authentifiée via une seule requête HTTP. Les projets doivent mettre à jour React, recompiler et redéployer leurs applications. 🚨 Portée et exploitation — La fondation Shadowserver a recensé 77 664 adresses IP vulnérables (dont ~23 700 aux États‑Unis). GreyNoise a observé 181 IP distinctes tentant d’exploiter la faille en 24 h, avec un trafic majoritairement automatisé venant notamment des Pays‑Bas, de Chine, des États‑Unis et de Hong Kong. Palo Alto Networks indique que 30+ organisations ont déjà été compromises, avec exécution de commandes, reconnaissance et tentatives de vol de fichiers de configuration/identifiants AWS. Des intrusions sont liées à des acteurs étatiques chinois. ...

Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement. — Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles. ...

TechCrunch rapporte, sur la base d’une publication d’Amnesty International et de partenaires médias (Haaretz, Inside Story, Inside IT), des fuites montrant qu’Intellexa aurait eu un accès à distance aux systèmes de surveillance de certains clients utilisant le spyware Predator. Les documents divulgués (documents internes, supports commerciaux, vidéos de formation) incluent une vidéo où des employés d’Intellexa se connecteraient via TeamViewer à des systèmes clients. Cette vidéo montrerait des parties privilégiées de la plateforme Predator, dont un tableau de bord et un stockage contenant photos, messages et autres données exfiltrées des victimes. Amnesty publie des captures mais pas la vidéo complète. ...

Selon un rapport d’Anthropic rapporté par Gizmodo, des tests en environnement simulé évaluent la capacité de LLMs avancés à identifier et exploiter des failles dans des smart contracts DeFi sur des blockchains compatibles EVM. Les modèles comme Claude Opus 4.5 et GPT-5 ont analysé des centaines de contrats, générant des scripts complets mimant des exploits historiquement observés (Ethereum et EVM). Ils auraient “détourné” de façon simulée environ 550 M$ sur un corpus de contrats déjà exploités (2020–2025). Notamment, Opus 4.5 a réussi à exploiter la moitié d’un sous-ensemble de 34 contrats intentionnellement vulnérables dont les attaques réelles étaient postérieures à sa date de connaissance (mars 2025), pour environ 4,5 M$ simulés. ...