Yunex Traffic annonce un accÚs non autorisé à des parties limitées de ses systÚmes de développement

Selon une communication de Yunex Traffic, l’entreprise a rĂ©cemment pris des mesures pour gĂ©rer un accĂšs non autorisĂ© Ă  des parties limitĂ©es de ses systĂšmes IT internes dĂ©diĂ©s au dĂ©veloppement de produits. L’organisation indique avoir immĂ©diatement mis en Ɠuvre des mesures de sĂ©curisation 🔒 et lancĂ© une enquĂȘte approfondie avec l’appui de spĂ©cialistes externes du secteur afin de comprendre ce qui s’est passĂ©. Yunex Traffic prĂ©cise que ses systĂšmes et ses services clients ont toujours Ă©tĂ© et demeurent pleinement opĂ©rationnels ✅. ...

23 octobre 2025 Â· 1 min

MuddyWater déploie Phoenix v4 via macros Word pour espionner plus de 100 entités gouvernementales

Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuĂ©e avec haute confiance Ă  l’APT iranien MuddyWater a ciblĂ© plus de 100 entitĂ©s gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en aoĂ»t 2025. 🚹 Vecteur et kill chain. Les attaquants ont utilisĂ© un compte email compromis (accĂ©dĂ© via NordVPN) pour envoyer de faux courriels avec piĂšces jointes Microsoft Word incitant Ă  « activer le contenu ». L’activation des macros exĂ©cute un VBA dropper qui Ă©crit un loader « FakeUpdate » sur disque. Ce loader dĂ©chiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...

22 octobre 2025 Â· 3 min

BeaverTail : un faux recruteur IA propage un malware en 5 étapes via LinkedIn et un dépÎt GitHub piégé

Source: Medium (Deriv Tech). Un article de Shantanu dĂ©voile « BeaverTail », une campagne sophistiquĂ©e mĂȘlant ingĂ©nierie sociale (LinkedIn) et dĂ©pĂŽt GitHub piĂ©gĂ© pour compromettre des dĂ©veloppeurs sous couvert d’un test technique. – Le leurre: un faux recruteur (« Tim Morenc, CEDS ») d’une fausse entreprise « DLMind » (org GitHub dlmind-tech) propose un rĂŽle d’« Innovative AI Engineer » et demande de cloner et exĂ©cuter un projet Next.js « MEDIRA ». L’exĂ©cution (npm install / node run dev/build) dĂ©clenche un backdoor cachĂ©. ...

21 octobre 2025 Â· 4 min

Zyxel ATP/USG : exposition de configuration via contournement d’autorisation (CVE-2025-9133)

Source: RainPwn (blog). Le billet prĂ©sente une analyse technique de CVE-2025-9133 affectant les appliances Zyxel ATP/USG, montrant comment le CGI zysh-cgi autorise un contournement d’autorisation durant la vĂ©rification 2FA, exposant la configuration systĂšme. ‱ VulnĂ©rabilitĂ©: bypass d’autorisation dans le flux 2FA via zysh-cgi, dĂ» Ă  une validation par prĂ©fixe (strncmp) des commandes et l’absence de tokenisation. En chaĂźnant des commandes avec «;», un utilisateur partiellement authentifiĂ© peut exĂ©cuter des commandes non autorisĂ©es comme show running-config, malgrĂ© une allowlist restrictive pour le profil usr_type 0x14. ...

21 octobre 2025 Â· 2 min

Autoswagger: un outil pour détecter des endpoints OpenAPI/Swagger non authentifiés

Selon Darknet (darknet.org.uk), l’article prĂ©sente « Autoswagger », un outil conçu pour trouver et tester des spĂ©cifications OpenAPI/Swagger afin d’identifier des endpoints non authentifiĂ©s, des fuites de PII et des secrets. L’accent est mis sur la capacitĂ© de l’outil Ă  automatiser la dĂ©couverte et la validation de points d’API exposĂ©s Ă  partir de specs OpenAPI/Swagger, afin de rĂ©vĂ©ler des expositions non protĂ©gĂ©es et des informations sensibles. L’article inclut: Le tooling nĂ©cessaire pour l’utiliser 🧰 Les Ă©tapes d’installation 📩 Un scĂ©nario d’attaque illustratif 🎯 Aucun IOC ou TTP spĂ©cifique n’est fourni dans l’extrait. ...

20 octobre 2025 Â· 1 min

Bilan 2024/2025 des compromissions open source : phishing, handoff de contrĂŽle et GitHub Actions en cause

Source: filippo.io (Filippo Valsorda). L’auteur analyse les compromissions de la chaĂźne d’approvisionnement open source sur 2024/2025, en recensant des cas concrets et en les classant par causes racines afin d’identifier des mitigations actionnables pour les mainteneurs. Principales causes identifiĂ©es: phishing (le vecteur le plus frĂ©quent, y compris contre 2FA TOTP), control handoff (transfert d’accĂšs/contrĂŽle Ă  un acteur malveillant), et dĂ©clencheurs GitHub Actions privilĂ©giĂ©s comme pull_request_target et certains issue_comment conduisant Ă  des injections shell. Les jetons Ă  longue durĂ©e de vie (exfiltration et rĂ©utilisation), l’usurpation de Dependabot, la rĂ©surrection de domaines/identifiants, et des facteurs aggravants (tags d’Actions mutables, scripts post-install npm, permissions CI en Ă©criture, artefacts non reproductibles, configuration CI par branche) reviennent rĂ©guliĂšrement. ...

20 octobre 2025 Â· 2 min

CloudConqueror : un outil pour cartographier et abuser de l’API AWS CloudControl

Selon Darknet.org.uk, CloudConqueror est prĂ©sentĂ© comme un outil qui cartographie et abuse de l’API AWS CloudControl pour des activitĂ©s de dĂ©couverte, d’énumĂ©ration de ressources et de persistance. L’article met en avant que l’outil sert autant aux attaquants qu’aux dĂ©fenseurs, en montrant comment tester la couverture de dĂ©tection et renforcer les environnements cloud â˜ïžđŸ›Ąïž. Points clĂ©s mentionnĂ©s: Cartographie de la surface d’attaque de l’API AWS CloudControl. Abus de l’API pour la dĂ©couverte et l’énumĂ©ration de ressources. Mise en place de mĂ©canismes de persistance. TTPs observĂ©s (d’aprĂšs l’extrait): ...

20 octobre 2025 Â· 1 min

Extensions VS Code malveillantes : la campagne GlassWorm exploite eval(), obfuscation et C2 via Solana

Source: Knostic (billet de blog rĂ©fĂ©rencĂ©) — Contexte: mise en garde et synthĂšse technique sur les extensions VS Code malveillantes observĂ©es dans la campagne GlassWorm. 🚹 Fait saillant: les IDEs dĂ©veloppeur deviennent une surface d’attaque critique, oĂč des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacitĂ©s d’exĂ©cution de code Ă  distance, vol d’identifiants et infiltration de la supply chain. Des solutions de dĂ©tection comme Knostic Kirin sont citĂ©es pour bloquer les extensions infectĂ©es Ă  l’installation. ...

20 octobre 2025 Â· 2 min

🐞 CVE les plus discutĂ©es dans la semaine 41

PĂ©riode analysĂ©e : les 7 derniers jours sur le Fediverse. DonnĂ©es collectĂ©es via CVE Crowd et enrichies avec les donnĂ©es CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 LĂ©gende : CVSS : Score de sĂ©vĂ©ritĂ© officielle. EPSS : ProbabilitĂ© d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sĂ©vĂ©ritĂ© estimĂ©e (IA). Poids social : Importance dans le Fediverse. CVE-2023-20118 [CVSS 6.5 🟹] [VLAI Medium 🟹] Produit : Cisco Cisco Small Business RV Series Router Firmware Score CVSS : 6.5 🟹 EPSS : 0.02222 đŸŸ© VLAI : Medium 🟹 Poids social (Fediverse) : 403.0 Description : Une vulnĂ©rabilitĂ© dans l’interface de gestion Web des routeurs Cisco Small Business RV016, RV042, RV042G, RV082, RV320, et RV325 pourrait permettre Ă  un attaquant distant authentifiĂ© d’exĂ©cuter des commandes arbitraires sur un appareil affectĂ©. Cette vulnĂ©rabilitĂ© est due Ă  une validation incorrecte des entrĂ©es utilisateur dans les paquets HTTP entrants. Un attaquant pourrait exploiter cette vulnĂ©rabilitĂ© en envoyant une requĂȘte HTTP spĂ©cialement conçue Ă  l’interface de gestion Web. Une exploitation rĂ©ussie pourrait permettre Ă  l’attaquant d’obtenir des privilĂšges de niveau root et d’accĂ©der Ă  des donnĂ©es non autorisĂ©es. Pour exploiter cette vulnĂ©rabilitĂ©, l’attaquant doit disposer d’informations d’identification administratives valides sur l’appareil affectĂ©. ...

19 octobre 2025 Â· 10 min

131 clones d’extensions Chrome pour WhatsApp Web dĂ©tectĂ©s au BrĂ©sil

Selon Socket (Socket.dev), l’équipe Socket Threat Research Team a mis au jour une campagne coordonnĂ©e opĂ©rant depuis au moins neuf mois et distribuant 131 clones rebrandĂ©s d’une extension d’automatisation pour WhatsApp Web via le Chrome Web Store, visant des utilisateurs brĂ©siliens. ‱ Nature de la menace: un cluster de spamware permettant l’automatisation d’envois massifs de messages sur WhatsApp Web, en violation des politiques du Chrome Web Store et de WhatsApp. La campagne opĂšre sur un modĂšle de revente/franchise, avec des variantes diffĂ©renciĂ©es par noms, logos et pages d’atterrissage, mais partageant le mĂȘme code et la mĂȘme infrastructure. 🚹 ...

19 octobre 2025 Â· 2 min
Derniùre mise à jour le: 13 Feb 2026 📝