International

Source et contexte — BleepingComputer (Lawrence Abrams, 6 déc. 2025) signale une exploitation à grande échelle de React2Shell (CVE-2025-55182), une faille de désérialisation non sécurisée dans React Server Components (touchant aussi Next.js), permettant une exécution de code à distance (RCE) non authentifiée via une seule requête HTTP. Les projets doivent mettre à jour React, recompiler et redéployer leurs applications. 🚨 Portée et exploitation — La fondation Shadowserver a recensé 77 664 adresses IP vulnérables (dont ~23 700 aux États‑Unis). GreyNoise a observé 181 IP distinctes tentant d’exploiter la faille en 24 h, avec un trafic majoritairement automatisé venant notamment des Pays‑Bas, de Chine, des États‑Unis et de Hong Kong. Palo Alto Networks indique que 30+ organisations ont déjà été compromises, avec exécution de commandes, reconnaissance et tentatives de vol de fichiers de configuration/identifiants AWS. Des intrusions sont liées à des acteurs étatiques chinois. ...

Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement. — Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles. ...

TechCrunch rapporte, sur la base d’une publication d’Amnesty International et de partenaires médias (Haaretz, Inside Story, Inside IT), des fuites montrant qu’Intellexa aurait eu un accès à distance aux systèmes de surveillance de certains clients utilisant le spyware Predator. Les documents divulgués (documents internes, supports commerciaux, vidéos de formation) incluent une vidéo où des employés d’Intellexa se connecteraient via TeamViewer à des systèmes clients. Cette vidéo montrerait des parties privilégiées de la plateforme Predator, dont un tableau de bord et un stockage contenant photos, messages et autres données exfiltrées des victimes. Amnesty publie des captures mais pas la vidéo complète. ...

Selon un rapport d’Anthropic rapporté par Gizmodo, des tests en environnement simulé évaluent la capacité de LLMs avancés à identifier et exploiter des failles dans des smart contracts DeFi sur des blockchains compatibles EVM. Les modèles comme Claude Opus 4.5 et GPT-5 ont analysé des centaines de contrats, générant des scripts complets mimant des exploits historiquement observés (Ethereum et EVM). Ils auraient “détourné” de façon simulée environ 550 M$ sur un corpus de contrats déjà exploités (2020–2025). Notamment, Opus 4.5 a réussi à exploiter la moitié d’un sous-ensemble de 34 contrats intentionnellement vulnérables dont les attaques réelles étaient postérieures à sa date de connaissance (mars 2025), pour environ 4,5 M$ simulés. ...

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour. • Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours. ...

Selon Next INpact, Microsoft a corrigé en novembre (Patch Tuesday) CVE-2025-9491, un problème lié aux fichiers LNK que l’éditeur ne considérait pas comme une vulnérabilité, bien qu’il ait été activement exploité depuis 2017. 🧩 Nature de la vulnérabilité: les fichiers .LNK permettent jusqu’à 32 000 caractères dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boîte de dialogue Propriétés. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delà de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intégralité de la commande Target, quelle que soit sa longueur. ...

Source: dépôt public de l’auteur; contexte: la publication intervient après la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google. Le dépôt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de développement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis à Meta, plus simple et efficace), et 02-meow-rce-poc (PoC haché et publié comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale à Meta). ...

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Selon TechCrunch, le fabricant Kohler, à l’origine d’une caméra pour toilettes connectées, indique pouvoir accéder aux données des clients hébergées sur ses serveurs et utiliser des photos de cuvette pour entraîner une intelligence artificielle. L’article met en avant des enjeux de confidentialité et de gestion des données autour d’un produit IoT doté d’une caméra. Kohler peut accéder aux données clients stockées sur ses serveurs. Le média précise que l’entreprise peut également utiliser des photos du contenu du bol prises par l’appareil pour entraîner une IA. 📸🤖 ...

Source: AI Forensics (rapport 2025, données collectées via TikTok entre le 13 août et le 13 septembre 2025, analyses finalisées jusqu’en octobre 2025). AI Forensics (AIF) analyse 383 puis surveille 354 « Agentic AI Accounts » (AAAs) sur TikTok, des comptes qui automatisent la production et le test de contenus via des outils d’IA générative pour maximiser la viralité. Ces AAAs ont publié 43 798 contenus en plus de 20 langues, cumulé plus de 4,5 milliards de vues, et 65,1% ont été créés en 2025. Les AAAs postent massivement (jusqu’à 70 posts/jour, moyenne pouvant atteindre 11/jour) et 78,5% étaient dès l’origine des comptes 100% IA. ...