Monde

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Socket (blog), l’équipe Threat Research a identifié deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothèque légitime fast_log et dérobent des clés privées de portefeuilles crypto. Les paquets auraient totalisé 8 424 téléchargements avant leur retrait par l’équipe sécurité de Crates, qui a aussi verrouillé les comptes associés. — Découverte et impact — • Type d’attaque : attaque de la chaîne d’approvisionnement via des crates Rust malveillantes. • Produits concernés : crates fasterlog et asyncprintln (imitation de fast_log). • Impact : vol de clés privées Ethereum et Solana, avec 8 424 téléchargements observés avant la suppression. • Réponse de l’écosystème : retrait des paquets et verrouillage des comptes par l’équipe Crates. ...

Selon BleepingComputer, deux vulnérabilités affectent le firmware des matériels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent à des attaquants de mettre à jour les systèmes avec des images malicieusement forgées. Les experts de la société de sécurité des micrologiciels Binarly ont découvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigée en janvier dernier, ainsi qu’une autre vulnérabilité identifiée sous le nom de CVE-2025-6198. De nouvelles vulnérabilités critiques ont été découvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance à distance, même lorsque le serveur est éteint. Selon les chercheurs de Binarly, ces failles, identifiées comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent à un attaquant d’installer un firmware malveillant qui reste actif malgré les redémarrages ou réinstallations du système d’exploitation, ouvrant la voie à des backdoors persistantes. ...

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle. — L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois. ...

Source : Trend Micro (Emerging Technology Security). Le billet présente une analyse des techniques de compromission des modèles de langage et insiste sur une démarche de sécurité « verify, then trust » pour protéger la chaîne d’approvisionnement IA. L’analyse met en avant trois méthodes clés de compromission : l’injection de code malveillant dans les fichiers de modèles (notamment via des vulnérabilités de sérialisation pickle), des adapteurs LoRA malveillants capables de manipuler le comportement du modèle, et l’empoisonnement des données de formation pour implanter des portes dérobées. Elle évoque également des attaques par ré‑entraînement direct du modèle. 🔎 ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dépôts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tête des résultats de recherche, et LastPass partage des IoCs et mène des actions de retrait auprès de GitHub. 🚨 Détails clés: deux pages GitHub usurpant LastPass ont été créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrées avec le nom de l’entreprise et des termes liés à macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodée Base64 qui décode en bonoud[.]com/get3/install.sh, télécharge un premier payload, puis un binaire “Update” dans le répertoire Temp, qui est en réalité Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...