International

Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothèque Python open source dédiée à l’analyse de malwares et au reverse engineering, accompagnée d’un tutoriel détaillé pour construire un extracteur de configuration du stealer LUMMA. 🛠️ nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le désassemblage et l’analyse, unifiant en un seul socle des capacités auparavant réparties sur plusieurs dépendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implémentations d’algorithmes spécifiques aux malwares. ...

Selon BleepingComputer, FuzzingLabs accuse la startup soutenue par Y Combinator, Gecko Security, d’avoir répliqué ses divulgations de vulnérabilités. ⚔️ FuzzingLabs accuse la startup Gecko Security d’avoir copié ses découvertes de failles Un conflit public a éclaté dans la communauté cybersécurité entre FuzzingLabs et Gecko Security, une startup soutenue par Y Combinator, après que FuzzingLabs a accusé sa concurrente d’avoir copié ses divulgations de vulnérabilités et d’avoir rétrodater ses articles de blog pour s’en attribuer le mérite. ...

Selon GBHackers Security, le marketplace cybercriminel en ligne « Russian Market » a évolué, passant de la vente d’accès RDP à un rôle d’un des hubs les plus actifs pour les logs de malware voleurs d’informations (stealers). Le cybermarché clandestin Russian Market s’est imposé comme l’un des plus actifs pour la vente de logs issus de malwares voleurs d’informations (infostealers). Ce site, autrefois spécialisé dans la revente d’accès RDP compromis, héberge désormais plus de 180 000 journaux exfiltrés contenant des identifiants, cookies et sessions volés sur des machines compromises à travers le monde. ...

Selon Koi Security (billet de recherche), le groupe TigerJack a infiltré des places de marché d’extensions pour développeurs avec au moins 11 extensions malveillantes, diffusées sous plusieurs identités d’éditeur. La campagne a compromis plus de 17 000 développeurs et met en lumière des failles de sécurité dans un écosystème fragmenté où certaines extensions restent opérationnelles malgré leur retrait du marketplace officiel de Microsoft. Le mode opératoire combine plusieurs capacités offensives majeures: ...

Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources. 🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

Selon BleepingComputer Source : BleepingComputer (Sergiu Gatlan), Oracle a publié ce week-end une mise à jour de sécurité d’urgence pour corriger une vulnérabilité affectant Oracle E‑Business Suite (EBS). Oracle a diffusé ce week-end un correctif de sécurité d’urgence pour une nouvelle vulnérabilité critique affectant sa suite E-Business Suite (EBS), pouvant être exploitée à distance sans authentification. La faille, identifiée sous le code CVE-2025-61884, touche les versions 12.2.3 à 12.2.14 du composant Runtime UI et permettrait à des attaquants non authentifiés de voler des données sensibles via Internet. ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Source: Horizon3.ai — Contexte: publication d’un résumé exécutif et technique sur CVE-2025-49844 affectant Redis. • La faille CVE-2025-49844 est une vulnérabilité critique d’exécution de code à distance (RCE) dans le moteur de scripts Lua de Redis, notée CVSS 10.0. Elle permet à des utilisateurs authentifiés d’exécuter du code arbitraire via des scripts Lua spécialement conçus manipulant le collecteur de déchets (garbage collector). Bien que l’exploitation nécessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par défaut, ce qui élargit considérablement la surface d’attaque. Redis a divulgué la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a été observée, mais les organisations sont incitées à mettre à niveau immédiatement. ...

Selon The Verge, Discord précise qu’environ 70 000 utilisateurs sont potentiellement concernés par l’exposition de photos de pièces d’identité à la suite d’un incident touchant un prestataire tiers de support client. Cette mise à jour intervient après des affirmations en ligne et une tentative d’extorsion visant l’entreprise. Discord insiste sur le fait qu’il ne s’agit pas d’une compromission de ses propres systèmes, mais d’un incident chez un prestataire tiers de service client. Les photos d’ID gouvernementales exposées concerneraient des vérifications liées aux appels d’âge. Dans une communication précédente, l’entreprise indiquait que des données telles que noms, identifiants, adresses e‑mail, quatre derniers chiffres de cartes bancaires et adresses IP pouvaient également être affectées. ...