Posts

Source : Reuters — Contexte : Qantas a indiqué être « l’une de plusieurs entreprises » dont des données clients volées lors de la cyberattaque de juillet ont été publiées par des cybercriminels. Cet incident est présenté comme l’un des plus marquants en Australie depuis les attaques contre Optus et Medibank en 2022, qui avaient entraîné des lois obligatoires de résilience cyber. 🔓 Impact déclaré par Qantas : plus d’un million de clients ont vu des informations sensibles telles que numéros de téléphone, dates de naissance, adresses consultées. Quatre millions d’autres clients ont eu nom et adresse e‑mail dérobés. ...

Selon Elliptic, dans un contexte de coordination transatlantique, le département du Trésor américain et le FCDO britannique ont pris des mesures conjointes contre le TCO Prince Group de Chen Zhi impliqué dans des escroqueries « pig butchering » et un blanchiment massif de cryptomonnaies. Mesures clés: sanctions OFAC contre 146 entités, désignation par la FinCEN de Huione Group comme préoccupation principale de blanchiment d’argent, et plus grande confiscation du DOJ à ce jour d’environ 127 271 bitcoins (~15 Mds $). Le réseau exploitait des composés de travail forcé en Asie du Sud-Est et aurait escroqué des Américains de plus de 16,6 Mds $ via des schémas d’investissement frauduleux. ...

Selon Koi Security (billet de recherche), le groupe TigerJack a infiltré des places de marché d’extensions pour développeurs avec au moins 11 extensions malveillantes, diffusées sous plusieurs identités d’éditeur. La campagne a compromis plus de 17 000 développeurs et met en lumière des failles de sécurité dans un écosystème fragmenté où certaines extensions restent opérationnelles malgré leur retrait du marketplace officiel de Microsoft. Le mode opératoire combine plusieurs capacités offensives majeures: ...

Selon BleepingComputer, Microsoft a publié la mise à jour cumulative KB5066791 pour Windows 10, présentée comme la dernière mise à jour gratuite alors que le système arrive en fin de cycle de support. — Principaux points — Produit concerné : Windows 10 Mise à jour : KB5066791 Nature : mise à jour cumulative Statut : dernière mise à jour gratuite Contexte : fin du cycle de support de Windows 10 Cette annonce marque « la fin d’une ère » pour Windows 10, la publication de KB5066791 scellant la phase finale de son support. ...

Selon Horizon3.ai (attaque research), un zero‑day CVE‑2025‑11371 est activement exploité contre Gladinet CentreStack et Triofox, affectant toutes les versions jusqu’à 16.4.10315.56368 et antérieures. 🚨 La faille est une LFI non authentifiée permettant la lecture arbitraire de fichiers, l’exfiltration de la machineKey et la forge de ViewState signés pour obtenir une exécution de code à distance (RCE). Aucun patch n’est disponible à ce stade. Détails techniques clés: Vulnérabilité: Local File Inclusion non authentifiée au sein de l’application web. Chaîne d’attaque: Lecture de Web.config via la LFI, Extraction de la machineKey, Forge de payloads ViewState signés, Désérialisation côté serveur aboutissant à la RCE. Mesures de mitigation temporaires mentionnées: ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Selon McAfee Labs, une nouvelle campagne du trojan bancaire Astaroth abuse de GitHub pour héberger et mettre à jour sa configuration via des images contenant des données stéganographiées, permettant à l’opération de perdurer même si l’infrastructure C2 est perturbée. Les dépôts malveillants ont été signalés et retirés en collaboration avec GitHub. • Synthèse 🕵️‍♂️: l’infection commence par un e-mail de phishing menant au téléchargement d’un ZIP contenant un fichier LNK. À l’exécution, un enchaînement JavaScript → AutoIt → shellcode charge un DLL (Delphi) qui injecte la charge finale (Astaroth) dans un nouveau processus RegSvc.exe. Le malware détecte l’accès à des sites bancaires/crypto et enregistre les frappes pour voler les identifiants. L’exfiltration s’effectue via le reverse proxy Ngrok. Pour la résilience, la configuration est récupérée périodiquement depuis GitHub, dissimulée dans des images (stéganographie). La campagne cible majoritairement le Brésil. ...

Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025. • Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur. ...

Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources. 🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...