IOC

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

Selon un rapport de Huntress, un nouveau ransomware appelé Crux a été identifié. Ce ransomware est revendiqué par les acteurs de la menace comme étant « une partie du groupe BlackByte ». Jusqu’à présent, Crux a été observé dans trois incidents distincts. Les fichiers chiffrés par ce ransomware se terminent par l’extension .crux, et les notes de rançon suivent la convention de nommage crux_readme_[aléatoire].txt. L’adresse email de support mentionnée dans toutes les notes de rançon jusqu’à présent est BlackBCruxSupport@onionmail.org. ...

Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink. DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien. ...

L’actualité, publiée le 21 juillet 2025, rapporte une attaque majeure de la chaîne d’approvisionnement qui a compromis des packages NPM populaires. Cette attaque a permis l’installation du malware ‘pycoon’ sur les systèmes Windows. Les attaquants ont réussi en phishant les mainteneurs de packages NPM, publiant ensuite des versions malveillantes de packages légitimes tels que eslint-config-prettier et eslint-plugin-prettier. Cette attaque met en lumière des faiblesses critiques dans les outils d’analyse de composition logicielle (SCA) et les systèmes de conseil en sécurité, car des fournisseurs majeurs comme Snyk et GitHub n’ont pas réussi à signaler correctement les packages malveillants. ...

Source : socket.dev Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence. L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi. ...

Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier. Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows. ...

Arctic Wolf Labs a publié une analyse technique détaillée sur les campagnes menées par Greedy Sponge, un acteur malveillant motivé par des gains financiers, qui cible les organisations mexicaines depuis 2021. Ces campagnes utilisent une version modifiée du AllaKore RAT, un outil d’accès à distance, pour voler des informations bancaires et des jetons d’authentification. Les attaques sont lancées via des installateurs MSI trojanisés envoyés par phishing, qui déploient des variantes personnalisées d’AllaKore. ...

L’article publié par Sucuri analyse une campagne de malware ciblant WordPress, qui exploite les conteneurs Google Tag Manager (GTM) pour rediriger les utilisateurs vers des domaines de spam. Les chercheurs en sécurité ont découvert que cette attaque injecte des scripts GTM malveillants directement dans la base de données WordPress, plutôt que dans les fichiers de thème, rendant ainsi la détection plus difficile. La campagne a déjà affecté plus de 200 sites web et utilise le domaine légitime googletagmanager.com pour contourner les filtres de sécurité. ...

L’article de KrebsOnSecurity rapporte une fuite de données majeure chez Paradox.ai, causée par une infection au malware Nexus Stealer sur l’appareil d’un développeur vietnamien. Le malware a permis l’exfiltration de mots de passe stockés, de cookies d’authentification et de données de navigation, exposant les informations personnelles de millions de candidats à l’emploi chez McDonald’s et des mots de passe faibles pour des comptes de clients Fortune 500. La compromission a révélé des faiblesses systémiques en matière de sécurité, telles que de mauvaises pratiques de gestion des mots de passe, la réutilisation des identifiants sur plusieurs systèmes d’entreprise, et la compromission de jetons d’authentification pour les plateformes Okta SSO et Atlassian. ...

Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit. Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité. ...