Posts

Next publie (en accès libre) une enquête initialement parue le 2 juillet 2025 sur l’ampleur des fuites liées à des Google Groupes configurés en lecture publique, entraînant l’exposition de données sensibles depuis parfois près de 20 ans. Le problème est attribué à la mauvaise configuration de la visibilité des groupes: des messages envoyés à une adresse de groupe deviennent lisibles par tous les internautes connectés. Ce phénomène touche des associations, syndics de copropriété, entreprises et établissements de santé. L’historique de Groups (depuis l’intégration de Deja.com en 2001) et la persistance des pièces jointes hébergées par Google aggravent l’exposition 🔓. ...

Selon HP Wolf Security (Threat Insights Report, décembre 2025), ce rapport synthétise les menaces observées au T3 2025 après isolement des charges qui ont échappé aux filtres de messagerie et autres contrôles, afin de documenter les techniques d’attaque courantes et émergentes. • Campagnes notables et familles de malware 🧪 En Amérique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec pièces jointes SVG faiblement détectées, menant à une archive 7z chiffrée contenant un exécutable signé et une DLL altérée pour du DLL sideloading. Chaîne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tâche planifiée. Des PDF brandés Adobe redirigent vers une fausse page de mise à jour avec animations réalistes, livrant une version modifiée de ScreenConnect donnant un accès à distance. En Turquie, des entreprises d’ingénierie sont visées via archives XZ contenant VBS/VBE, chaîne multi‑étapes avec stéganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mènent à des fichiers hébergés sur Discord, livrant un EXE Microsoft signé qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour télécharger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol d’identifiants envoyé via Telegram. • Tendances de fichiers et vecteurs 📈 ...

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 téléchargements. Le package fonctionne comme une API WhatsApp pleinement opérationnelle, en enveloppant le client WebSocket légitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et médias tout en maintenant le fonctionnement normal, rendant la détection difficile. ...

Selon Numerama, le député belge Mathieu Michel a vu son salaire de novembre détourné suite à une demande frauduleuse de changement de compte bancaire envoyée par e-mail à la Chambre des représentants, qui a reconnu une « erreur humaine ». — L’élu explique qu’« un individu a envoyé un e-mail à la Chambre pour demander de verser [son] salaire sur un nouveau compte bancaire » et souligne que « il n’y avait même pas [son] nom dans l’adresse mail ». Ce phishing simple a suffi à aboutir au détournement de rémunération. ...

Contexte et source: Publication technique type README (dépôt GitHub du projet “MongoBleed Detector”) présentant un outil de détection local pour la vulnérabilité MongoBleed (CVE-2025-14847). L’outil « MongoBleed Detector » cible CVE-2025-14847, une vulnérabilité de divulgation de mémoire dans la décompression zlib de MongoDB, permettant l’exfiltration de données sensibles (identifiants, tokens, PII) sans authentification. Il analyse les logs JSON de MongoDB de façon offline/agentless et cherche un motif d’attaque caractéristique: volumes de connexions très élevés depuis une même IP, absence totale de métadonnées client, et rafales très courtes (jusqu’à 100 000+ connexions/min dans le comportement documenté). ...

Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade. • Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️ ...

Source: BleepingComputer (Lawrence Abrams). L’article rapporte qu’Ubisoft a confirmé un incident affectant Rainbow Six Siege (R6) ayant permis des abus en jeu, tandis que des rumeurs non vérifiées évoquent une compromission plus large de l’infrastructure via la vulnérabilité MongoDB MongoBleed (CVE-2025-14847). 🎮 Incident confirmé et impact Les attaquants ont pu bannir/débannir des joueurs, afficher de faux messages de bannissement sur le ticker, octroyer ~2 milliards de R6 Credits et de Renown à tous les joueurs, et déverrouiller tous les cosmétiques, y compris des skins réservés aux développeurs. Les R6 Credits étant une monnaie premium (15 000 crédits = 99,99 $), la valeur estimée des crédits distribués avoisine 13,33 M$. 🛑 Réponse d’Ubisoft ...

Selon un billet de blog de Lorin Hochstein (Incidents), un certificat SSL expiré a touché les domaines de distribution de Bazel chez Google, provoquant des échecs de build pour les utilisateurs. • Impact principal: des erreurs côté clients Bazel lors de l’accès au registre, avec des messages tels que « PKIX path validation failed: CertPathValidatorException: validity check failed ». Les domaines affectés étaient https://bcr.bazel.build et https://releases.bazel.build. 🔐🚫 • Cause immédiate: d’après un résumé post-mitigation de Xùdōng Yáng sur un ticket GitHub, l’auto‑renouvellement du certificat a été bloqué suite à l’ajout de nouveaux sous-domaines, et les notifications d’échec de renouvellement n’ont pas été envoyées. ...

Selon la documentation du projet open-source « Device Activity Tracker » publiée sur GitHub, et basée sur la recherche « Careless Whisper » (Université de Vienne & SBA Research), un PoC démontre comment exploiter des accusés de réception silencieux pour déduire l’activité d’un appareil sur WhatsApp et Signal. 🔍 Fonctionnement et portée: L’outil mesure le Round-Trip Time (RTT) des accusés de réception pour distinguer un appareil actif (RTT faible) d’un appareil en veille/standby (RTT plus élevé), détecter de possibles changements de réseau (données mobiles vs Wi‑Fi) et tracer des patterns d’activité dans le temps. Une interface web affiche en temps réel les mesures de RTT, l’état détecté et l’historique. ...

Selon franceinfo (Agence Radio France), un tireur sportif a été agressé à son domicile à Villeurbanne dans la nuit du samedi 27 au dimanche 28 décembre. L’affaire survient après le piratage des données personnelles de centaines de milliers d’adhérents de la Fédération française de tir (FFTir). Faits clés 📰 Deux individus armés et cagoulés attendaient la victime devant son domicile. Butin déclaré: neuf armes, 1 300 cartouches de plusieurs calibres et 11 000 euros. La victime est très choquée mais non blessée. Une enquête pour vol avec arme et séquestration est ouverte par le parquet de Lyon; la police de Lyon est saisie. Contexte cyber 🔓 ...