60 gems Ruby malveillants volent des identifiants, 275 000 téléchargements depuis mars 2023

Selon BleepingComputer, une campagne de diffusion de packages malveillants touche l’écosystĂšme RubyGems depuis mars 2023. L’article rapporte que 60 gems Ruby malveillants embarquent du code de vol d’identifiants et ont cumulĂ© plus de 275 000 tĂ©lĂ©chargements. Les artefacts ciblent spĂ©cifiquement des comptes dĂ©veloppeurs, augmentant le risque de compromission d’environnements de dĂ©veloppement et d’accĂšs Ă  des dĂ©pĂŽts ou services associĂ©s. Les points clĂ©s mis en avant sont : Vecteur: diffusion via l’écosystĂšme RubyGems (packages malveillants). CapacitĂ©: exfiltration d’identifiants (credential stealing). PĂ©riode: activitĂ© observĂ©e depuis mars 2023. Impact: large exposition avec un volume Ă©levĂ© de tĂ©lĂ©chargements (275 000+), augmentant la surface d’attaque au sein des chaĂźnes de dĂ©veloppement. Il s’agit d’un article de presse spĂ©cialisĂ© visant Ă  signaler une menace active et Ă  informer sur son ampleur et sa cible principale. ...

10 aoĂ»t 2025 Â· 1 min

APT Sidewinder vise des gouvernements avec de faux portails Zimbra hébergés sur Netlify/Pages.dev

Contexte: Selon Hunt.io, une campagne coordonnĂ©e attribuĂ©e Ă  APT Sidewinder cible des organismes gouvernementaux et militaires avec des pages de connexion Zimbra factices. L’acteur mĂšne une campagne de phishing de grande ampleur contre des institutions en Bangladesh, NĂ©pal, Turquie et Pakistan, en usurpant l’identitĂ© d’agences publiques et de sous-traitants de dĂ©fense afin de collecter des identifiants. Les pages trompeuses imitent des portails Zimbra et s’appuient sur des services d’hĂ©bergement gratuits (Netlify, Pages.dev). 🎯 ...

10 aoĂ»t 2025 Â· 2 min

Exploitation active des failles Ivanti EPMM (CVE-2025-4427/4428) par UNC5221 détectée par Darktrace

Selon Darktrace (billet de blog), des vulnĂ©rabilitĂ©s d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitĂ©es dans plusieurs environnements clients par l’acteur liĂ© Ă  la Chine UNC5221. L’enquĂȘte met en Ă©vidence une chaĂźne d’attaque structurĂ©e combinant validation d’exploit, livraison de charge utile et rĂ©cupĂ©ration de commandes. ‱ Points clĂ©s: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution Ă  UNC5221 (China‑nexus), dĂ©ploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggĂšre des activitĂ©s coordonnĂ©es. ...

10 aoĂ»t 2025 Â· 2 min

Faille dans l’implĂ©mentation entreprise de Windows Hello: un admin peut injecter des scans faciaux

Selon The Register, dans le cadre de la confĂ©rence Black Hat, Microsoft pousse l’abandon des mots de passe au profit de la biomĂ©trie Windows Hello, mais des chercheurs sponsorisĂ©s par le gouvernement allemand ont dĂ©couvert une faille critique dans son implĂ©mentation en entreprise. La vulnĂ©rabilitĂ© permettrait Ă  un administrateur malveillant — ou Ă  un compte admin compromis — d’injecter de nouveaux scans faciaux dans le systĂšme Windows Hello. 🔓 Les Ă©lĂ©ments concernĂ©s sont la biomĂ©trie Windows Hello et spĂ©cifiquement son implĂ©mentation pour les environnements d’entreprise. ...

10 aoĂ»t 2025 Â· 1 min

Failles critiques dans Dell ControlVault3 : exécution de code, bypass biométrique et élévation SYSTEM

Source : Talos Intelligence (blog de Cisco Talos). Des chercheurs prĂ©sentent une chaĂźne d’attaque touchant Dell ControlVault3, une solution de sĂ©curitĂ© matĂ©rielle largement dĂ©ployĂ©e sur des laptops Dell, menant Ă  l’exĂ©cution de code arbitraire, Ă  l’altĂ©ration de l’authentification biomĂ©trique et Ă  une compromission jusqu’au niveau SYSTEM sur Windows. ‱ DĂ©couvertes clĂ©s : le dĂ©chiffrement du firmware via des clĂ©s AES codĂ©es en dur, la possibilitĂ© d’implants persistants survivant aux rĂ©installations du systĂšme, et le contournement de l’authentification par empreinte Windows Hello. Les organisations utilisant des ordinateurs Dell avec ControlVault3 sont invitĂ©es Ă  mettre en place des capacitĂ©s de dĂ©tection et une surveillance renforcĂ©e. đŸ”âš ïž ...

10 aoĂ»t 2025 Â· 2 min

Failles de prompt injection dans OpenHands : exfiltration zĂ©ro‑clic de tokens GitHub via rendu d’images

Source: Embrace The Red (blog) — Des chercheurs en sĂ©curitĂ© dĂ©crivent des vulnĂ©rabilitĂ©s critiques de prompt injection dans l’agent OpenHands qui permettent une exfiltration de donnĂ©es zĂ©ro‑clic en abusant du rendu d’images pour extraire des tokens GitHub et d’autres secrets. 🚹 Points clĂ©s Type d’attaque: prompt injection avec la « Lethal Trifecta » (Markdown + rendu d’images + exfiltration). Impact: exfiltration de GITHUB_TOKEN et d’autres donnĂ©es sensibles depuis l’environnement conteneurisĂ© d’OpenHands. État du correctif: vulnĂ©rabilitĂ© non corrigĂ©e malgrĂ© 148 jours de divulgation responsable. 🔧 DĂ©tails techniques ...

10 aoĂ»t 2025 Â· 2 min

Google confirme une compromission de son instance Salesforce via une arnaque tĂ©lĂ©phonique ciblant la liaison d’apps externes

Selon Ars Technica, Google a divulguĂ© que son instance Salesforce a Ă©tĂ© compromise en juin, deux mois aprĂšs que Google lui‑mĂȘme a alertĂ© sur une campagne de masse visant les clients Salesforce par ingĂ©nierie sociale, menĂ©e par des acteurs financiers. Les attaquants ne passent pas par une faille logicielle mais par des appels tĂ©lĂ©phoniques 📞: ils se font passer pour l’IT du client et demandent de lier une application externe Ă  l’instance Salesforce. Ils obtiennent de l’employĂ© le code de sĂ©curitĂ© Ă  8 chiffres requis par l’interface, qu’ils utilisent ensuite pour lier l’app et accĂ©der Ă  l’instance et aux donnĂ©es stockĂ©es. Cette mĂ©thode abuse d’une fonctionnalitĂ© de liaison d’apps tierces de Salesforce. ...

10 aoĂ»t 2025 Â· 2 min

npm généralise Trusted Publishing via OIDC pour sécuriser la publication des packages

Selon la rĂ©fĂ©rence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basĂ© sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sĂ©curiser la publication de packages JavaScript dans un contexte de rĂ©centes attaques de supply chain ayant exploitĂ© des tokens de mainteneurs compromis. 🔐 Points clĂ©s: Passage Ă  des identifiants Ă©phĂ©mĂšres et cryptographiquement sĂ©curisĂ©s qui expirent aprĂšs chaque publication, Ă©vitant les tokens longue durĂ©e en CI/CD. GĂ©nĂ©ration automatique d’attestations de provenance (preuve cryptographique de l’identitĂ© du publieur et des mĂ©tadonnĂ©es d’environnement de build) sans nĂ©cessiter l’option --provenance. Objectif: rĂ©duire les risques d’attaques de la chaĂźne d’approvisionnement liĂ©s au vol/abus de secrets dans les pipelines. 🧰 IntĂ©gration et prĂ©requis: ...

10 aoĂ»t 2025 Â· 1 min

OpenHands vulnĂ©rable Ă  l’exĂ©cution de code via prompt injection : l’agent peut ĂȘtre dĂ©tournĂ© en 'ZombAI'

Selon Embrace The Red, des chercheurs ont dĂ©montrĂ© une vulnĂ©rabilitĂ© critique dans l’agent IA OpenHands permettant, via prompt injection, une exĂ©cution de code Ă  distance (RCE) et la prise de contrĂŽle persistante de l’agent en un « ZombAI » 🚹. Sur le plan technique, l’attaque insĂšre des instructions malveillantes dans des contenus web que l’agent traite. Lorsqu’OpenHands visite un site contrĂŽlĂ© par l’attaquant, il suit ces instructions pour tĂ©lĂ©charger un malware (payload similaire Ă  ceux observĂ©s dans des exploits visant Anthropic Claude), l’exĂ©cuter localement, puis Ă©tablir une connexion Ă  un serveur de C2 đŸ€–. ...

10 aoĂ»t 2025 Â· 1 min

Pilote Windows malveillant : élévation de privilÚges (CVSS 8.8) via IOCTL, manipulation du registre et lecture disque

Selon une analyse publiĂ©e sur zeifan.my, un pilote Windows malveillant prĂ©sente une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges de sĂ©vĂ©ritĂ© Ă©levĂ©e (CVSS 8.8), avec des capacitĂ©s de manipulation du registre et d’accĂšs disque brut. L’étude dĂ©crit trois interfaces de pĂ©riphĂ©rique exposĂ©es par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie Ă  des actions critiques. Les vulnĂ©rabilitĂ©s clĂ©s incluent la suppression arbitraire de clĂ©s de registre HKLM, la modification de l’entrĂ©e BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrĂŽles de sĂ©curitĂ©. ...

10 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 10 juillet 2026 📝