Monde

Source : watchTowr Labs. Contexte : les chercheurs décrivent comment ils ont observé et reproduit l’exploitation active de CVE-2025-54309 affectant CrushFTP, listée dans le CISA KEV le 22 juillet 2025, et permettant un accès administrateur via HTTPS lorsque la fonctionnalité proxy DMZ n’est pas utilisée. • Vulnérabilité et impact. La faille touche « CrushFTP 10 avant 10.8.5 » et « 11 avant 11.3.4_23 » et provient d’une mauvaise gestion de la validation AS2. Exploitée en juillet 2025, elle permet d’obtenir des privilèges administrateur (ex. l’utilisateur intégré crushadmin), entraînant un contrôle total du serveur (création/lecture de fichiers sensibles). Le billet souligne l’ampleur potentielle avec plus de 30 000 instances exposées. ...

Selon le Root Security Bulletin (www.root.io, 26 août 2025), une vulnérabilité critique de Git (CVE-2025-48384) est activement exploitée et a été ajoutée au catalogue KEV de la CISA, avec une date butoir de remédiation fixée au 15 septembre 2025 pour les agences fédérales américaines. ⚠️ Impact et portée Type : vulnérabilité permettant une exécution de code à distance (RCE) via des dépôts Git malveillants. Systèmes affectés : Linux et macOS (contrôle des caractères dans les noms de fichiers autorisé). Non affecté : Windows (restrictions du système de fichiers). Produits/Usages à risque : GitHub Desktop pour macOS (clonage récursif par défaut), pipelines CI/CD. Gravité : CVSS v3.1 8.0 (High) — Vector: AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H. 🧪 Détails techniques ...

Source: Medium — Le chercheur Seyfullah KILIÇ décrit une expérience visant à identifier des déploiements TeslaMate accessibles publiquement et la quantité de données sensibles qu’ils exposent. Il explique avoir réalisé un balayage à l’échelle d’Internet 🔎 pour repérer les hôtes avec le port 4000 ouvert, ce qui a permis une découverte rapide et massive grâce à une infrastructure multi-serveurs 10 Gbps. Après détection des hôtes, il a utilisé un outil de fingerprinting HTTP pour confirmer les installations TeslaMate via leur titre par défaut. Cette étape a affiné la liste aux déploiements effectivement identifiés comme TeslaMate. ...

Selon BleepingComputer, des acteurs de menace utilisent plusieurs sites web promus par des publicités Google pour piéger les internautes avec une application d’édition PDF convaincante qui sert de vecteur à un malware voleur d’informations nommé TamperedChef. Le stratagème repose sur des publicités Google menant à plusieurs sites qui proposent un supposé éditeur PDF. L’application, présentée de manière convaincante, sert en réalité à livrer un logiciel malveillant. L’impact principal mentionné est le vol d’informations via le malware TamperedChef, classé comme info-stealer, ce qui indique un risque d’exfiltration de données sensibles des victimes. ...

Contexte: Infosecurity Magazine relaie une analyse du rapport « H1 2025 Malware and Vulnerability Trends » de Recorded Future (Insikt Group), publié le 28 août 2025. • Poids des acteurs étatiques 🎯: 53 % des exploits de vulnérabilités attribués au S1 2025 proviennent d’acteurs étatiques, motivés par des objectifs géopolitiques (espionnage, surveillance). La majorité de ces campagnes sont attribuées à des groupes liés à la Chine, ciblant prioritairement l’edge infrastructure et les solutions d’entreprise. ...

Selon Cyfirma, Inf0s3c Stealer est un malware de type information stealer écrit en Python qui cible de larges pans des données utilisateur et systèmes, exfiltrées via Discord après empaquetage en archives RAR protégées par mot de passe. L’échantillon montre une obfuscation avancée (UPX + PyInstaller) et des mécanismes de persistance. Le billet recommande une protection proactive des endpoints et une surveillance réseau renforcée. Sur le plan technique, l’échantillon est un exécutable PE 64-bit (~6,8 Mo, entropie 8.000) packé avec UPX 5.02 et PyInstaller, important des API Windows (opérations fichiers, énumération de processus, manipulation mémoire). 🧪 ...

Selon BleepingComputer, Microsoft appliquera à partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protéger les clients contre les tentatives d’accès non autorisées. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrée en vigueur à partir d’octobre. Objectif: contrer les accès non autorisés visant les environnements Azure 🔐. Il s’agit d’une mise à jour de produit dont le but principal est de renforcer la protection des clients Azure. ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...