International

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...

Selon Cyber Security News, des chercheurs en sécurité ont mis au jour une opération IPTV illicite à grande échelle s’appuyant sur plus de 1 100 domaines et 10 000 adresses IP pour diffuser des contenus premium non autorisés. L’opération est attribuée à des entités dont XuiOne, Tiyansoft et l’individu Nabi Neamati. Elle s’appuie sur des panneaux de contrôle compromis et une infrastructure à rotation rapide pour résister aux tentatives de démantèlement. L’impact est l’hébergement et la distribution non autorisés de flux premium à grande échelle. 🛰️ ...

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters. • Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

Contexte: BleepingComputer rapporte que sur X, des acteurs malveillants utilisent l’assistant IA intégré Grok pour contourner des restrictions de publication de liens mises en place afin de réduire la publicité malveillante. Des acteurs malveillants exploitent Grok, l’assistant IA d’X, pour contourner les restrictions de publication de liens destinées à limiter la publicité malveillante. 🤖🔗🚫 Cette utilisation abusive permet de faire passer des liens malgré les limitations imposées par la plateforme, sapant les efforts de modération déployés pour réduire les campagnes publicitaires nuisibles. ...

Source : Varonis — Analyse d’une attaque supply chain où des tokens OAuth liés aux intégrations Salesloft et Drift ont été détournés pour accéder à des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks. 🚨 Les assaillants ont exploité des connexions tierces de confiance pour mener une attaque de chaîne d’approvisionnement. En détournant des tokens OAuth associés aux intégrations Salesloft et Drift, ils ont accédé à des environnements Salesforce via des appels API légitimes, ce qui a contourné les contrôles traditionnels et élargi le périmètre et le blast radius. L’incident illustre la nécessité d’une approche plus data-first avec une gouvernance renforcée des applications OAuth et une surveillance en temps réel. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Selon TRM Labs, à la suite du démantèlement de Garantex en mars 2025, des plateformes successeurs à haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opérationnelles similaires afin d’assurer la continuité et d’éviter l’attention des forces de l’ordre. L’analyse met en évidence, via des outils d’analyse blockchain, des schémas de co-spending entre des adresses attribuées à ABCex et AEXbit, indiquant avec une forte certitude un contrôle commun des deux plateformes. 🔗 ...

Source: Bitsight (équipe TRACE) — Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidéo en réseau ) et détaille la botnet RapperBot, de l’intrusion initiale aux campagnes DDoS, en incluant des IoCs, les mécanismes C2 (TXT DNS chiffrés) et l’évolution récente de l’infrastructure. — Chaîne d’infection et capacités — Exploitation ciblée d’un NVR exposé (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant d’exfiltrer les fichiers Account1/Account2 avec identifiants hashés et en clair, puis mise à jour de firmware factice sur le port 34567 (admin) pour exécuter du code. Le « firmware » lance un montage NFS et exécute un binaire (z) depuis un partage distant, choix dicté par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware s’exécute en mémoire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (réinfection continue). Fonctions observées: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), brute‑force de l’admin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777). — Découverte C2 via DNS et évolution — ...

Selon ReversingLabs, des chercheurs ont découvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intégrés à une campagne sophistiquée de supply chain ciblant des développeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraître légitime. Le code JavaScript des paquets est fortement obfusqué et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde étape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b héberge les commandes malveillantes, ce qui permet d’éviter la détection basée sur des URLs codées en dur. Le payload de seconde étape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme téléchargeur de composants additionnels. ...

Contexte: Selon BleepingComputer, l’équipe Threat Research Unit (TRU) d’Acronis met en avant l’usage de la géolocalisation comme vecteur d’attaque discret, des cas emblématiques comme Stuxnet jusqu’aux APTs actuelles. L’article souligne que la géolocalisation devient un vecteur d’attaque invisible 📍: des malwares peuvent rester dormants et ne s’activer que lorsqu’ils atteignent le lieu ciblé. Cette approche transforme les données de localisation en arme, permettant aux attaquants de déclencher leurs charges utiles uniquement au « bon endroit », rendant les détections plus difficiles. ...