Monde

Contexte: Infosecurity Magazine relaie une analyse du rapport « H1 2025 Malware and Vulnerability Trends » de Recorded Future (Insikt Group), publié le 28 août 2025. • Poids des acteurs étatiques 🎯: 53 % des exploits de vulnérabilités attribués au S1 2025 proviennent d’acteurs étatiques, motivés par des objectifs géopolitiques (espionnage, surveillance). La majorité de ces campagnes sont attribuées à des groupes liés à la Chine, ciblant prioritairement l’edge infrastructure et les solutions d’entreprise. ...

Selon Cyfirma, Inf0s3c Stealer est un malware de type information stealer écrit en Python qui cible de larges pans des données utilisateur et systèmes, exfiltrées via Discord après empaquetage en archives RAR protégées par mot de passe. L’échantillon montre une obfuscation avancée (UPX + PyInstaller) et des mécanismes de persistance. Le billet recommande une protection proactive des endpoints et une surveillance réseau renforcée. Sur le plan technique, l’échantillon est un exécutable PE 64-bit (~6,8 Mo, entropie 8.000) packé avec UPX 5.02 et PyInstaller, important des API Windows (opérations fichiers, énumération de processus, manipulation mémoire). 🧪 ...

Selon BleepingComputer, Microsoft appliquera à partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protéger les clients contre les tentatives d’accès non autorisées. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrée en vigueur à partir d’octobre. Objectif: contrer les accès non autorisés visant les environnements Azure 🔐. Il s’agit d’une mise à jour de produit dont le but principal est de renforcer la protection des clients Azure. ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...

Selon Wiz (blog), une attaque de supply chain a touché le 26 août 2025 le système de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collecté des actifs sensibles (wallets crypto, tokens GitHub/npm, clés SSH, fichiers .env, etc.) et a exfiltré ces données vers des dépôts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a désactivé ces dépôts le 27 août à 9h UTC, mais la fenêtre d’exposition (~8h) a permis des téléchargements par les attaquants et d’autres acteurs. ...

Selon KrebsOnSecurity, le mois dernier a vu l’apparition soudaine de centaines de sites de jeux et de paris en ligne très soignés, présentés comme légitimes, mais opérant une escroquerie visant les dépôts en cryptomonnaies. Ces plateformes attirent les internautes avec des crédits gratuits pour jouer 🎰, puis finissent par détourner tous les fonds en crypto déposés par les victimes. L’article souligne la qualité de présentation de ces sites, conçus pour inspirer confiance avant de disparaître avec l’argent. ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...