Monde

Source et contexte: Zscaler ThreatLabz publie le « 2025 Mobile, IoT & OT Threat Report » (données juin 2024–mai 2025), fondé sur la télémétrie de son cloud et l’analyse de transactions mobiles et IoT/OT à grande échelle. 📱 Mobile: Les transactions de malwares Android ont grimpé de 67%. Zscaler recense 239 applications Android malveillantes (42 M de téléchargements sur Google Play). Le backdoor Android Void/Vo1d a infecté 1,6 M de box TV Android (cible: versions AOSP anciennes). Les menaces phares incluent les bancaires (Anatsa) et un nouveau RAT Xnotice (ciblant des candidats dans l’oil & gas), avec abus massif des services d’accessibilité, overlays, mishing (SMS), et contournements via ZIP/APK malformés et payloads DEX chiffrés. L’adware domine désormais (69%), devant Joker (23%) et Harly (5%). ...

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs. — Détails techniques et impact — La faille provient de l’absence de contrôles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisés sans vérification de capacités. Les journaux exposent notamment des messages de réinitialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant à une compromission complète du site. 🚨 — Chronologie — ...

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures. ⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2. ...

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », découvert en juillet 2025 lors d’une réponse à incident où les attaquants visaient une persistance longue durée à des fins d’espionnage. • 🧩 Chaîne d’infection et composants: Le loader Netapi64.dll (obfusqué via Eazfuscator.NET) est chargé par injection .NET AppDomainManager via un fichier .config, crée des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exécute un binaire XOR-décodé « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gère les proxys, encode le nom d’hôte en Base64 et interagit avec l’écosystème Assistants/Vector Stores d’OpenAI. ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon l’extrait fourni, il s’agit d’un walkthrough expliquant l’usage de Ghidriff (Ghidra) pour analyser un correctif qui résout une écriture hors limites sur le tas dans rAthena, référencée sous CVE-2025-58447. 🔍 Le contenu décrit une analyse de patch par rétro‑ingénierie avec Ghidra/Ghidriff, centrée sur l’identification des changements apportés pour corriger la vulnérabilité de type heap-based out-of-bounds write. 🛠️ L’accent est mis sur le processus d’analyse technique du correctif, sans détailler d’autres éléments contextuels (impact, vecteur, versions). L’objectif est de comprendre comment le patch remédie à la faille. ...

Source: blog.mozilla.org (Alan Byrne, 23 octobre 2025). Mozilla annonce un changement de politique pour les extensions Firefox centré sur la transparence de la collecte de données. À partir du 3 novembre 2025, toutes les nouvelles extensions Firefox devront déclarer si elles collectent ou transmettent des données personnelles dans le manifest.json via la clé browser_specific_settings.gecko.data_collection_permissions. 🧩🔒 Les extensions qui ne collectent ni ne transmettent de données doivent le préciser en définissant la permission « none required » dans cette propriété. ...

The Verge met en garde contre une nouvelle vague de menaces liées aux navigateurs intégrant des agents IA (ChatGPT Atlas, Copilot Mode d’Edge, Comet, etc.), alors que la course pour « posséder » la porte d’entrée du web s’accélère. Des vulnérabilités ont déjà été constatées: dans Atlas, des chercheurs ont exploité la mémoire pour injecter du code malveillant, élever des privilèges ou déployer des malwares. Des failles dans Comet permettraient de détourner l’IA du navigateur via des instructions cachées. OpenAI (via son CISO) et Perplexity reconnaissent que les prompt injections constituent une menace majeure et « de frontière » sans solution établie. ...

BleepingComputer rapporte que Microsoft enquête sur une panne DNS en cours qui affecte des clients à l’échelle mondiale, empêchant l’accès à Microsoft Azure et Microsoft 365. Depuis environ 16h00 UTC, Microsoft subit une panne majeure affectant ses services Azure, Microsoft 365, Intune, Exchange Admin Center et Azure Front Door (AFD). L’incident, toujours en cours, provoque des problèmes d’authentification et de connectivité à travers le monde, touchant entreprises, institutions et infrastructures publiques — y compris les chemins de fer néerlandais, dont les systèmes de billetterie et de planification de trajets sont indisponibles. ...

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...