Attaque supply chain sur Nx (npm) : exfiltration de secrets via GitHub et abus de GitHub Actions

Selon Wiz (blog), une attaque de supply chain a touchĂ© le 26 aoĂ»t 2025 le systĂšme de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collectĂ© des actifs sensibles (wallets crypto, tokens GitHub/npm, clĂ©s SSH, fichiers .env, etc.) et a exfiltrĂ© ces donnĂ©es vers des dĂ©pĂŽts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a dĂ©sactivĂ© ces dĂ©pĂŽts le 27 aoĂ»t Ă  9h UTC, mais la fenĂȘtre d’exposition (~8h) a permis des tĂ©lĂ©chargements par les attaquants et d’autres acteurs. ...

29 aoĂ»t 2025 Â· 3 min

BadSuccessor (CVE-2025-53779) : Microsoft corrige l’escalade directe, mais la technique reste exploitable

Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnĂ©rabilitĂ© BadSuccessor (CVE-2025-53779) dans Active Directory, liĂ©e aux nouveaux comptes dMSA sous Windows Server 2025. Avant patch, BadSuccessor permettait Ă  un utilisateur faiblement privilĂ©giĂ© de lier un delegated Managed Service Account (dMSA) Ă  n’importe quel compte AD, poussant le KDC Ă  fusionner les privilĂšges dans le PAC et Ă  retourner un paquet de clĂ©s Kerberos du compte cible, entraĂźnant une Ă©lĂ©vation directe au niveau Domain Admin. ...

29 aoĂ»t 2025 Â· 3 min

BforeAI repĂšre 498 domaines suspects liĂ©s aux Coupes du Monde FIFA 2025–2026

Source et contexte: BforeAI (PreCrime Labs) publie en aoĂ»t 2025 une analyse des domaines rĂ©cemment enregistrĂ©s autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une prĂ©paration active d’infrastructures frauduleuses. ‱ Volume et temporalitĂ©: 498 domaines analysĂ©s, avec un pic de 299 enregistrements du 8 au 12 aoĂ»t 2025. Les acteurs rĂ©utilisent d’anciens domaines ou enregistrent tĂŽt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

29 aoĂ»t 2025 Â· 3 min

Campagnes abusant Microsoft Teams pour livrer un malware PowerShell via faux support IT

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingĂ©nierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accĂšs Ă  distance et dĂ©ployer des malwares. Les campagnes observĂ©es s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rĂŽles de « IT SUPPORT », « Help Desk », etc., parfois agrĂ©mentĂ©s d’un ✅ dans le nom pour simuler une vĂ©rification. Ces identitĂ©s tirent parti de tenants onmicrosoft.com aux conventions de nommage gĂ©nĂ©riques (admin, engineering, supportbotit). Les cibles sont variĂ©es mais basĂ©es en rĂ©gions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...

29 aoĂ»t 2025 Â· 4 min

Citrix NetScaler : CVE-2025-6543 exploitĂ© en zero‑day depuis mai avec exĂ©cution de code et persistance

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnĂ©rabilitĂ© CVE‑2025‑6543 affectant Citrix NetScaler a Ă©tĂ© activement exploitĂ©e en zero‑day depuis dĂ©but mai 2025, bien avant le correctif publiĂ© fin juin. Bien que dĂ©crite par Citrix comme un simple problĂšme de dĂ©ni de service, elle permet en rĂ©alitĂ© l’exĂ©cution de code Ă  distance (RCE) et a conduit Ă  des compromissions Ă©tendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vĂ©rification, sous conditions particuliĂšres, sans expliquer pleinement la situation, et le script serait incomplet. ...

29 aoĂ»t 2025 Â· 3 min

Des assureurs cyber testent des exclusions « CVE » limitant les indemnisations pour failles non corrigées

Source: darkreading.com (Robert Lemos, 22 aoĂ»t 2025). L’article dĂ©crit comment certains assureurs cyber testent des mĂ©canismes pour responsabiliser les assurĂ©s sur la remĂ©diation des failles, en limitant les indemnisations quand des attaques exploitent des vulnĂ©rabilitĂ©s anciennes ou des lacunes de dĂ©fense. Coalition, assureur cyber, Ă©voque dans un billet de blog ces approches dites « CVE exclusions » et affirme ne pas les soutenir, notant qu’elles restent peu rĂ©pandues et surtout observĂ©es hors des États‑Unis. ...

29 aoĂ»t 2025 Â· 2 min

Des attaquants détournent Velociraptor pour établir un tunnel VS Code via Cloudflare Workers

Selon news.sophos.com (Ă©quipe Sophos Counter Threat Unit), en aoĂ»t 2025 des chercheurs ont enquĂȘtĂ© sur une intrusion au cours de laquelle un acteur a dĂ©ployĂ© l’outil DFIR open source Velociraptor pour orchestrer le tĂ©lĂ©chargement et l’exĂ©cution de Visual Studio Code en mode tunnel, avec communication vers un C2 hĂ©bergĂ© sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisĂ© l’utilitaire Windows msiexec pour rĂ©cupĂ©rer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de rĂ©pertoire de staging oĂč se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installĂ© Velociraptor, configurĂ© pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exĂ©cutĂ© une commande PowerShell encodĂ©e pour tĂ©lĂ©charger Visual Studio Code (code.exe) depuis le mĂȘme staging et l’a lancĂ© avec l’option tunnel activĂ©e, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second tĂ©lĂ©chargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...

29 aoĂ»t 2025 Â· 2 min

ENISA va gĂ©rer la RĂ©serve europĂ©enne de cybersĂ©curitĂ© : 36 M€ sur 3 ans

Selon L’Usine Digitale (26 aoĂ»t 2025), la Commission europĂ©enne et l’ENISA ont signĂ© un accord de contribution confiant Ă  l’agence l’administration et le fonctionnement de la RĂ©serve europĂ©enne de cybersĂ©curitĂ©, avec une enveloppe de 36 M€ sur trois ans, contrĂŽlĂ©e par l’exĂ©cutif europĂ©en et s’ajoutant Ă  un budget annuel de 26,9 M€. Cette rĂ©serve, prĂ©vue Ă  l’article 14 du Cyber Solidarity Act (adoptĂ© en 2024), vise Ă  doter l’UE de capacitĂ©s communes de rĂ©ponse aux incidents majeurs et Ă  rĂ©pondre aux incidents transfrontaliers significatifs. Elle comble une lacune de longue date en matiĂšre de rĂ©ponse coordonnĂ©e aux attaques de grande ampleur. ...

29 aoĂ»t 2025 Â· 2 min

Gremlin Stealer : de 1 IOC à une chasse étendue (méthodologie, IOCs, YARA et infra)

Source: viuleeenz.github.io — L’auteur dĂ©taille une mĂ©thodologie de chasse aux menaces Ă  partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des Ă©chantillons, extraire des indicateurs et monter en gĂ©nĂ©ralitĂ© sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des Ă©chantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et mĂ©tadonnĂ©es .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractĂ©ristiques statiques sont faciles Ă  modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

29 aoĂ»t 2025 Â· 3 min

Group-IB expose ShadowSilk, un cluster APT lié à YoroTrooper ciblant les gouvernements en Asie centrale et APAC

Source: Group-IB — Recherche conjointe avec CERT-KG dĂ©crivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observĂ©e jusqu’en juillet 2025), avec liens techniques et infrastructurels Ă  YoroTrooper. ‱ Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiĂ©es). Le groupe opĂšre en deux sous‑équipes russo‑ et sino‑phones (dĂ©veloppement/accĂšs initial cĂŽtĂ© russophone, post‑exploitation/collecte cĂŽtĂ© sinophone). AprĂšs une premiĂšre exposition en janvier 2025, l’infrastructure a Ă©tĂ© en partie abandonnĂ©e puis rĂ©activĂ©e en juin 2025 avec de nouveaux bots Telegram. Une image serveur clĂ© des attaquants a Ă©tĂ© obtenue, rĂ©vĂ©lant TTPs, outils, opĂ©rateurs, captures d’écran et tests sur leurs propres machines. ...

29 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝