Monde

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...

Selon Wiz (blog), une attaque de supply chain a touché le 26 août 2025 le système de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collecté des actifs sensibles (wallets crypto, tokens GitHub/npm, clés SSH, fichiers .env, etc.) et a exfiltré ces données vers des dépôts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a désactivé ces dépôts le 27 août à 9h UTC, mais la fenêtre d’exposition (~8h) a permis des téléchargements par les attaquants et d’autres acteurs. ...

Selon KrebsOnSecurity, le mois dernier a vu l’apparition soudaine de centaines de sites de jeux et de paris en ligne très soignés, présentés comme légitimes, mais opérant une escroquerie visant les dépôts en cryptomonnaies. Ces plateformes attirent les internautes avec des crédits gratuits pour jouer 🎰, puis finissent par détourner tous les fonds en crypto déposés par les victimes. L’article souligne la qualité de présentation de ces sites, conçus pour inspirer confiance avant de disparaître avec l’argent. ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées. Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

Selon Have I Been Pwned (HIBP), des données clients de TheSqua.re ont été compromises et diffusées en ligne. L’incident, survenu en juin 2025, concerne 107 000 adresses email uniques. Les informations publiées sur un forum de hacking incluent également des noms, numéros de téléphone et villes. HIBP précise que TheSqua.re n’a pas répondu aux tentatives répétées de divulgation responsable. Toutefois, plusieurs abonnés HIBP concernés ont confirmé la légitimité et l’exactitude des données divulguées. ...

Selon blog.kartone.ninja, une analyse de rétro‑ingénierie a mis au jour « P0sT5n1F3r », un module Apache furtif conçu pour intercepter le trafic HTTPS et exfiltrer des données sensibles. L’artefact décrit est une porte dérobée pour Apache capable de sniffer le trafic HTTPS directement sur le serveur. Son activité était dissimulée via un chiffrement RC4, ce qui l’a rendu indétecté par les plateformes anti‑malwares jusqu’à sa découverte. 🔒🕵️ L’analyse a retrouvé la clé RC4 utilisée, ce qui a permis de révéler un payload ciblé dont l’objectif est le vol de données de cartes bancaires. 💳 ...

Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnérables à une faille critique de type exécution de code à distance (RCE), identifiée sous le code CVE-2025-7775. Cette vulnérabilité touche NetScaler ADC et NetScaler Gateway et a déjà été exploitée comme un zero-day, avant même la publication du correctif. Les versions affectées incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix précise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre à jour immédiatement vers une version corrigée. ...