Posts

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Source: Microsoft Security Blog (Microsoft Threat Intelligence). Contexte: Microsoft décrit une campagne de phishing détectée le 18 août 2025, limitée et visant principalement des organisations américaines, où un fichier SVG obfusqué par IA servait de vecteur pour rediriger les victimes vers une fausse authentification. • Le leurre démarre depuis un compte email de petite entreprise compromis, avec une tactique d’auto-adressage (expéditeur = destinataire) et cibles en BCC pour contourner des heuristiques. L’email imite une notification de partage de fichier et joint « 23mb – PDF- 6 Pages.svg », un SVG présenté comme un PDF. À l’ouverture, le SVG redirige vers une page avec un faux CAPTCHA, suivi très probablement d’une fausse page de connexion pour voler des identifiants. ...

Selon The Guardian (enquête conjointe avec +972 Magazine et Local Call), Microsoft a mis fin à l’accès d’Unit 8200 (renseignement militaire israélien) à certains services Azure et d’IA, après la mise au jour d’un programme de surveillance de masse des communications de civils palestiniens utilisant l’infrastructure cloud de l’entreprise. Décision de Microsoft: à la suite d’une enquête interne urgente, Microsoft a « cessé et désactivé un ensemble de services » pour une unité du ministère israélien de la défense, incluant stockage cloud et services d’IA. Brad Smith a affirmé: « Nous ne fournissons pas de technologie pour faciliter la surveillance de masse des civils. » ...

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...

Selon bbc.com (Jacqueline Howard), deux adolescents de 17 ans ont été arrêtés aux Pays‑Bas pour « ingérence d’État », dans une affaire liée à un possible espionnage avec des connexions rapportées à des acteurs pro‑russes. Les autorités néerlandaises soupçonnent les deux jeunes d’avoir été contactés via Telegram par des hackers pro‑russes. L’un d’eux aurait circulé à proximité des bureaux d’Europol, d’Eurojust et de l’ambassade du Canada à La Haye en portant un « wi‑fi sniffer », un dispositif conçu pour identifier et intercepter des réseaux Wi‑Fi. ...

Source: Microsoft Threat Intelligence (blog Microsoft Security). Contexte: Microsoft décrit l’analyse et le blocage d’une campagne de phishing par identifiants qui aurait utilisé du code généré par IA pour obfusquer un payload dans un fichier SVG et contourner des défenses classiques. • Nature de l’attaque: phishing d’identifiants distribué depuis un compte e-mail de petite entreprise compromis, avec tactique d’e-mail auto-adressé (expéditeur = destinataire, cibles en BCC) et piège SVG déguisé en PDF. Le SVG redirigeait vers une page avec faux CAPTCHA, vraisemblablement suivi d’une fausse page de connexion pour voler des identifiants. 🎯 ...

FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner. • Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe. • Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer. ...

Selon une communication officielle de l’entreprise, un serveur d’Okuma Europe GmbH (OEG), filiale allemande d’Okuma, a été compromis par un accès non autorisé et infecté par un ransomware. 🚨 L’entreprise indique une infection par ransomware d’un serveur d’Okuma Europe GmbH en Allemagne, consécutive à un accès non autorisé. Elle évoque un risque d’exfiltration de certaines données personnelles et d’informations confidentielles. 🛠️ La réponse en cours comprend : Enquête sur les violations de sécurité de l’information et rétablissement du système affecté, avec l’appui d’experts externes. Signalement de l’incident à la police et aux autorités compétentes en Allemagne. 📊 Portée et impacts : ...

Source : BBC (bbc.com). Dans un contexte de perturbations majeures dans plusieurs aéroports européens, l’ENISA confirme l’usage de ransomware pour « brouiller » les systèmes automatiques d’enregistrement et d’embarquement, et indique que le type de malware a été identifié, avec une enquête en cours par les forces de l’ordre. ✈️ Impact opérationnel : plusieurs des aéroports les plus fréquentés d’Europe ont été perturbés depuis vendredi, avec des retards et des annulations. La BBC rapporte que l’attaque a touché le fournisseur américain Collins Aerospace vendredi soir, provoquant des dysfonctionnements dans de nombreux aéroports dès samedi. ...