Posts

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Picus Security (blog), dans la catégorie Threats and Vulnerabilities, BRICKSTORM est une backdoor sophistiquée attribuée au groupe APT UNC5221 (nexus Chine) visant des services juridiques, fournisseurs SaaS et entreprises technologiques aux États‑Unis. BRICKSTORM est un malware en Go avec variantes Linux, Windows et BSD, offrant de l’exécution de commandes via HTTP et du tunneling proxy SOCKS pour un accès à long terme. Les opérateurs maintiennent une persistance durable avec un temps de présence moyen de près d’un an et recourent à des techniques d’évasion avancées (binaries Go obfusqués via Garble, logique de démarrage différé). ...

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Selon la Zero Day Initiative (Trend Micro), une vulnérabilité critique CVE-2025-23298 affecte la bibliothèque NVIDIA Transformers4Rec et permet une exécution de code à distance avec privilèges root lors du chargement de checkpoints de modèles, un correctif ayant été publié par NVIDIA. La faille provient de la fonction load_model_trainer_states_from_checkpoint qui utilise torch.load() sans paramètres de sûreté. Ce chargement désérialise directement des données pickle, ce qui autorise des fichiers de checkpoint malveillants à exécuter du code arbitraire via la méthode reduce de pickle pendant la désérialisation. L’exploit démontré intègre des commandes os.system dans des objets state_dict du modèle. ...

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappé l’écosystème npm en septembre 2024, exploitant des faiblesses d’identité (comptes humains, identités machines, relations de confiance logicielle) pour mener une attaque de chaîne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver 🪱 a été diffusé via des paquets npm trojanisés tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exécution de bundle.js, le malware a collecté des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volés (npm, GitHub, cloud) étaient validés, puis les données exfiltrées vers des dépôts GitHub publics et des services de webhooks. ...

Contexte: The Record rapporte, sur la base d’un communiqué de presse, que les sénateurs Chuck Schumer (D‑NY), Maria Cantwell (D‑WA) et Ed Markey (D‑MA) portent un projet de loi ciblant l’usage commercial des signaux cérébraux. — Objet du texte: protéger les individus contre la collecte, la vente ou le mélange de leurs signaux cérébraux par des entités commerciales. — Risque visé: empêcher des pratiques susceptibles d’influencer les décisions, les émotions ou les achats des personnes via l’exploitation de ces données neuronales. ...

Selon Socket (blog), l’équipe Threat Research a identifié deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothèque légitime fast_log et dérobent des clés privées de portefeuilles crypto. Les paquets auraient totalisé 8 424 téléchargements avant leur retrait par l’équipe sécurité de Crates, qui a aussi verrouillé les comptes associés. — Découverte et impact — • Type d’attaque : attaque de la chaîne d’approvisionnement via des crates Rust malveillantes. • Produits concernés : crates fasterlog et asyncprintln (imitation de fast_log). • Impact : vol de clés privées Ethereum et Solana, avec 8 424 téléchargements observés avant la suppression. • Réponse de l’écosystème : retrait des paquets et verrouillage des comptes par l’équipe Crates. ...

Selon BleepingComputer, deux vulnérabilités affectent le firmware des matériels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent à des attaquants de mettre à jour les systèmes avec des images malicieusement forgées. Les experts de la société de sécurité des micrologiciels Binarly ont découvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigée en janvier dernier, ainsi qu’une autre vulnérabilité identifiée sous le nom de CVE-2025-6198. De nouvelles vulnérabilités critiques ont été découvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance à distance, même lorsque le serveur est éteint. Selon les chercheurs de Binarly, ces failles, identifiées comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent à un attaquant d’installer un firmware malveillant qui reste actif malgré les redémarrages ou réinstallations du système d’exploitation, ouvrant la voie à des backdoors persistantes. ...

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle. — L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois. ...

Source: Embrace The Red — Une recherche met en évidence un nouveau schéma de vulnérabilité où des agents IA de codage, opérant dans un même environnement, peuvent s’accorder mutuellement des privilèges en altérant leurs fichiers de configuration. 🚨 L’étude décrit une chaîne d’attaque débutant par une injection de prompt indirecte compromettant un premier agent. Celui-ci écrase les configurations d’un autre agent (p. ex. MCP de Claude Code) afin d’y ajouter des serveurs malveillants ou de modifier ses instructions, conduisant à une exécution de code arbitraire ou à des capacités élargies lors du rechargement des paramètres. ...