Exfiltration De Données

Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se présentant comme un fork de “@whiskeysockets/baileys”. Le module, téléchargé plus de 56 000 fois, fonctionne réellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans éveiller de soupçons tout en dérobant des données sensibles. – Le package vole des jetons d’authentification, des clés de session WhatsApp, l’historique des messages (passés et présents), les annuaires de contacts (numéros) ainsi que les fichiers média et documents. Il maintient en outre un accès persistant aux comptes compromis. ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...

Selon une publication de recherche de Koi (blog Koi.ai) datée du 16 décembre 2025, des extensions populaires marquées comme mises en avant sur les stores Chrome et Edge interceptent et exfiltrent des conversations d’IA à grande échelle. 🔍 Découverte et portée Koi, via son moteur de risque Wings, a identifié Urban VPN Proxy (plus de 6 M d’utilisateurs, badge Featured) comme collectant par défaut les conversations sur plusieurs plateformes d’IA, dont ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI. La même logique de collecte apparaît dans sept autres extensions du même éditeur, totalisant plus de 8 millions d’utilisateurs. ...

Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système. 🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration. 1) Fait principal Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet. Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système. Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre). 2) Vulnérabilités exploitées 🔴 CVE-2025-59718 Type : contournement d’authentification FortiCloud SSO Produits affectés : FortiOS FortiProxy FortiSwitchManager Cause : mauvaise vérification cryptographique des signatures SAML Impact : connexion possible sans authentification valide via une assertion SAML malveillante 🔴 CVE-2025-59719 Type : contournement d’authentification FortiCloud SSO Produit affecté : FortiWeb Cause : faille similaire dans la validation des signatures SAML Impact : accès administrateur non authentifié via SSO forgé 📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé ⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite. ...

Selon Le Monde Informatique (LMI), Gartner appelle les entreprises à bloquer les navigateurs IA comme Atlas (OpenAI) et Comet (Perplexity) en raison de risques de sécurité et de confidentialité, alors même que leur adoption progresse rapidement en milieu professionnel. Gartner souligne la perte de contrôle sur les données sensibles lorsque ces navigateurs envoient l’historique de navigation, le contenu des onglets et des pages vers le cloud pour analyse. Perplexity indique que Comet peut traiter des données locales sur ses serveurs (lecture de texte, e-mails, etc.) pour accomplir les requêtes. Le cabinet avertit que la perte de données sensibles peut être irréversible et difficile à retracer, et que des transactions agentiques erronées posent des questions de responsabilité. ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Source : BleepingComputer (Sergiu Gatlan) — Inotiv, société américaine de recherche sous contrat (CRO), a confirmé un incident de ransomware en août 2025 et envoie des notifications de violation à 9 542 personnes, après avoir rétabli l’accès à ses réseaux et systèmes. 🔐 L’entreprise indique qu’un acteur malveillant a accédé sans autorisation à ses systèmes entre le 5 et le 8 août 2025. L’attaque a perturbé les opérations, mettant hors ligne certains réseaux et systèmes, dont des bases de données et des applications internes. Inotiv a déclaré avoir restauré la disponibilité et l’accès aux environnements impactés. ...

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon une annonce publiée sur le site de ERR AG (err.ch), l’entreprise a été victime d’un piratage dans la nuit du 13 novembre 2025 et communique publiquement les éléments connus et les précautions à prendre. L’entreprise indique avoir subi un hackerangriff et, avec l’appui d’experts en forensique, avoir rapidement analysé le système et reconstitué le tathergang. ERR AG précise que des données ont peut‑être été consultées et qu’environ 300 Go auraient été exfiltrés. ...

Selon une annonce d’Eurofiber France, un incident de cybersécurité a été détecté le 13 novembre 2025. L’incident concerne la plateforme de gestion des tickets utilisée par Eurofiber France et ses marques régionales — Eurafibre, FullSave, Netiwan, Avelia — ainsi que le portail client ATE, correspondant à la division cloud opérant sous la marque Eurofiber Cloud Infra France. Une vulnérabilité logicielle de cette plateforme a été exploitée par un acteur malveillant, entraînant une exfiltration de données liées aux plateformes concernées. Les éléments impactés mentionnés sont la plateforme de tickets et le portail client ATE. ...