Posts

Selon BleepingComputer, la U.S. Federal Judiciary a confirmé avoir subi une cyberattaque ciblant ses systèmes de gestion électronique des dossiers qui hébergent des documents de cour confidentiels. L’incident touche des plateformes électroniques de gestion des affaires judiciaires, au cœur du traitement et de l’archivage des dossiers. Les autorités judiciaires soulignent la sensibilité des informations concernées, en raison de la présence de documents confidentiels. En réponse, l’institution indique renforcer ses mesures de cybersécurité 🔐. Aucune précision additionnelle n’est communiquée dans l’extrait sur la nature technique de l’attaque ou son ampleur. ...

Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis. 🔐 Points clés: Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD. Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option --provenance. Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines. 🧰 Intégration et prérequis: ...

Selon Embrace The Red, des chercheurs ont démontré une vulnérabilité critique dans l’agent IA OpenHands permettant, via prompt injection, une exécution de code à distance (RCE) et la prise de contrôle persistante de l’agent en un « ZombAI » 🚨. Sur le plan technique, l’attaque insère des instructions malveillantes dans des contenus web que l’agent traite. Lorsqu’OpenHands visite un site contrôlé par l’attaquant, il suit ces instructions pour télécharger un malware (payload similaire à ceux observés dans des exploits visant Anthropic Claude), l’exécuter localement, puis établir une connexion à un serveur de C2 🤖. ...

Selon DatabreachToday le Service du ministère public des Pays-Bas (Openbaar Ministerie) a entamé une remise en service progressive de ses réseaux, un mois après une cyberattaque l’ayant contraint à mettre ses services hors ligne. L’agence confirme que des pirates ont exploité une vulnérabilité dans un équipement Citrix et affirme qu’aucune donnée n’a été volée ni manipulée. Les systèmes ont été isolés le 17 juillet, à la suite de divulgations de failles touchant les Citrix NetScaler ADC et Gateway. La faille ciblée, Citrix Bleed 2 (CVE-2025-5777), permet de contourner la MFA, d’usurper des sessions et d’accéder sans autorisation. Un avertissement du NCSC-NL en juillet sur des attaques visant cette vulnérabilité a conduit à l’isolement du réseau interne. ...

Selon une analyse publiée sur zeifan.my, un pilote Windows malveillant présente une vulnérabilité d’élévation de privilèges de sévérité élevée (CVSS 8.8), avec des capacités de manipulation du registre et d’accès disque brut. L’étude décrit trois interfaces de périphérique exposées par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie à des actions critiques. Les vulnérabilités clés incluent la suppression arbitraire de clés de registre HKLM, la modification de l’entrée BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrôles de sécurité. ...

Contexte: Arctic Wolf publie une analyse des tendances actuelles des campagnes de ransomware et d’extorsion, mettant en lumière la généralisation de l’exfiltration de données et des schémas de multi‑extorsion. L’étude souligne que 96% des cas de ransomware incluent désormais l’exfiltration de données. Les acteurs adoptent des modèles de double, triple et quadruple extorsion combinant vol de données, menaces de divulgation publique et harcèlement ciblé. Les secteurs santé, éducation, gouvernement et manufacturier sont signalés comme particulièrement vulnérables. Les approches classiques de sauvegarde/restauration ne suffisent plus lorsque des données volées servent à une extorsion continue. ...

Selon BleepingComputer, une vulnérabilité de WinRAR identifiée comme CVE-2025-8088, bien que récemment corrigée, a été exploitée en 0‑day dans des campagnes de phishing pour installer le malware RomCom. L’article souligne l’exploitation active d’une faille WinRAR avant sa divulgation publique complète, permettant à des acteurs malveillants d’infecter des victimes via des courriels de phishing. Le point central concerne l’usage de CVE-2025-8088 comme vecteur initial, avec pour charge utile le malware RomCom. La faille est désormais corrigée, mais a servi de 0‑day au moment des attaques. ...

Selon The Register, Air France et KLM ont détecté une activité inhabituelle sur une plateforme externe utilisée pour le service client, ayant permis à des attaquants d’accéder à des données clients. Les compagnies indiquent avoir interrompu l’accès non autorisé avec le prestataire, pris des mesures pour éviter une récidive, et précisent que leurs systèmes internes n’ont pas été touchés. Les compagnies affirment que « aucune donnée sensible telle que mots de passe, détails de voyage, miles Flying Blue, passeport ou information de carte bancaire n’a été dérobée ». Des notifications clients relayées en ligne font toutefois état de l’accès aux éléments suivants : noms et prénoms, coordonnées de contact, numéros Flying Blue et niveaux de statut, ainsi que les objets des e-mails de demandes au service client. ...

Selon The Record (therecord.media), la plus haute juridiction allemande a jugé que les forces de l’ordre ne peuvent pas utiliser des logiciels espions pour surveiller des appareils personnels lorsque l’infraction visée est punie de moins de trois ans d’emprisonnement. Cette décision répond à un recours de l’association de défense des libertés numériques Digitalcourage. ⚖️ Le tribunal a estimé que la modification de 2017 du code de procédure pénale, qui permettait aux enquêteurs d’écouter des discussions chiffrées et des messageries, n’était pas suffisamment précise quant aux conditions d’usage des outils de spyware. La Cour précise que ces outils ne sont appropriés que dans des enquêtes sur des affaires sérieuses. ...

Selon Socket (blog Socket.dev), l’équipe de recherche a mis au jour une attaque de chaîne d’approvisionnement sophistiquée dans l’écosystème RubyGems, active depuis mars 2023, ayant publié 60 paquets malveillants totalisant plus de 275 000 téléchargements. Les gems malveillants se présentent comme des outils d’automatisation pour des plateformes de réseaux sociaux et marketing, mais volent des identifiants d’utilisateurs. L’opération cible en particulier des marketeurs « grey-hat » sud-coréens utilisant des comptes jetables, ce qui a permis à la campagne de rester discrète pendant plus d’un an. ...