Exfiltration De Données

Selon SQRX Labs, des chercheurs ont dévoilé une campagne coordonnée impliquant trois extensions Chrome malveillantes — Axiom Enhancer, Photon Bot et Trenches Agent — visant des plateformes de trading de cryptomonnaies. Les extensions étaient disponibles sur le Chrome Web Store au moment de la publication. Les chercheurs ont d’abord découvert Axiom Enhancer en train de voler des cookies d’authentification et des données localStorage d’utilisateurs d’axiom.trade. Un pivot de domaines a révélé Photon Bot utilisant la même infrastructure, puis l’analyse des métadonnées a conduit à Trenches Agent, un framework plus sophistiqué et multi-cibles. Ce dernier récolte des identifiants sur plusieurs plateformes, dont Axiom, BullX, Photon, GMGN et Padre. Les trois extensions partagent des motifs de code cohérents, indiquant une même paternité. 🚨 ...

Selon Horizon3.ai, des frameworks de pentest IA open source (notamment Cyber-AutoAgent et Villager) créent des risques de conformité majeurs en transmettant des données sensibles de tests d’intrusion vers des fournisseurs LLM externes (ex. OpenAI, Anthropic). Le problème principal n’est pas l’entraînement des modèles, mais l’exfiltration immédiate et non autorisée de données vers des tiers non approuvés, contournant DLP et SIEM, et violant des exigences PCI, HIPAA, CJIS et FedRAMP. Côté technique, ces outils enchaînent reconnaissance et exploitation en envoyant la sortie des commandes aux endpoints LLM via des appels API, générant une fuite silencieuse au travers d’un trafic HTTPS légitime. Ils utilisent souvent des clés API publiques, ne disposent pas de contrôles de configuration pour restreindre les flux, embarquent des bibliothèques de télémétrie tierces et n’offrent pas de pistes d’audit. ...

Source: Tom’s Hardware (Jowi Morales). Le média rapporte la revendication par le groupe de hackers Crimson Collective d’un piratage de Nintendo, accompagnée d’une capture d’écran partagée sur X par la société de renseignement Hackmanac. Le groupe affirme avoir accédé à des données de Nintendo, illustrées par des dossiers censés contenir des assets de production, des fichiers développeurs et des sauvegardes. Nintendo n’a pas communiqué sur l’incident, laissant planer l’incertitude sur l’authenticité de la preuve. ...

« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure. Du vishing à l’exfiltration de 400 Go L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de là, les assaillants ont : ...

Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025. • Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur. ...

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Source: Emerging Technology Security — Contexte: des chercheurs de Unit 42 détaillent une démonstration d’attaque montrant comment des adversaires peuvent empoisonner la mémoire longue d’un agent LLM via l’injection de prompt indirecte, avec Amazon Bedrock Agent comme étude de cas. Les chercheurs expliquent que lorsque la mémoire d’agent est activée, des instructions malicieuses injectées par ingénierie sociale peuvent manipuler le processus de synthèse de session, conduisant à l’enregistrement de commandes persistantes qui survivront aux sessions futures. Ces instructions empoisonnées sont ensuite réintroduites dans les prompts d’orchestration comme contexte « système », permettant l’exécution discrète d’objectifs d’attaquants (ex. exfiltration de données). ...

Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot. • Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot. ...

Source: Cybereason — Cybereason décrit une campagne d’exfiltration de données menée par le groupe CL0P entre juillet et septembre 2025 contre des déploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opération, similaire aux précédentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnérabilités corrigées dans la CPU Oracle de juillet 2025. Oracle a confirmé l’exploitation de failles déjà identifiées et a exhorté à appliquer immédiatement les correctifs. Les vulnérabilités exploitées incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). Classées de sévérité moyenne, elles sont exploitables à distance via HTTP par des attaquants non authentifiés, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025. ...