Monde

Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue après l’opération policière Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montée en sophistication. Le groupe poursuit une stratégie cross‑platform: variantes dédiées pour Windows, Linux et VMware ESXi. Les échantillons partagent des comportements clés: extensions de 16 caractères aléatoires pour les fichiers chiffrés, éviction des systèmes russophones (langue/géolocalisation), effacement des journaux d’événements post‑chiffrement, et un écosystème RaaS avec note de rançon et site de fuite incluant un chat de négociation. 🚨 ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Socket (blog), l’équipe Threat Research a identifié deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothèque légitime fast_log et dérobent des clés privées de portefeuilles crypto. Les paquets auraient totalisé 8 424 téléchargements avant leur retrait par l’équipe sécurité de Crates, qui a aussi verrouillé les comptes associés. — Découverte et impact — • Type d’attaque : attaque de la chaîne d’approvisionnement via des crates Rust malveillantes. • Produits concernés : crates fasterlog et asyncprintln (imitation de fast_log). • Impact : vol de clés privées Ethereum et Solana, avec 8 424 téléchargements observés avant la suppression. • Réponse de l’écosystème : retrait des paquets et verrouillage des comptes par l’équipe Crates. ...

Selon BleepingComputer, deux vulnérabilités affectent le firmware des matériels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent à des attaquants de mettre à jour les systèmes avec des images malicieusement forgées. Les experts de la société de sécurité des micrologiciels Binarly ont découvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigée en janvier dernier, ainsi qu’une autre vulnérabilité identifiée sous le nom de CVE-2025-6198. De nouvelles vulnérabilités critiques ont été découvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance à distance, même lorsque le serveur est éteint. Selon les chercheurs de Binarly, ces failles, identifiées comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent à un attaquant d’installer un firmware malveillant qui reste actif malgré les redémarrages ou réinstallations du système d’exploitation, ouvrant la voie à des backdoors persistantes. ...

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle. — L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois. ...

Source : Trend Micro (Emerging Technology Security). Le billet présente une analyse des techniques de compromission des modèles de langage et insiste sur une démarche de sécurité « verify, then trust » pour protéger la chaîne d’approvisionnement IA. L’analyse met en avant trois méthodes clés de compromission : l’injection de code malveillant dans les fichiers de modèles (notamment via des vulnérabilités de sérialisation pickle), des adapteurs LoRA malveillants capables de manipuler le comportement du modèle, et l’empoisonnement des données de formation pour implanter des portes dérobées. Elle évoque également des attaques par ré‑entraînement direct du modèle. 🔎 ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...