IOC

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Selon un papier de recherche académique (Harvard University et Centre for the Governance of AI), les auteurs proposent un cadre structuré pour analyser les incidents impliquant des agents IA et détaillent quelles données opérationnelles doivent être conservées et partagées pour permettre des enquêtes efficaces. • Le cadre identifie trois catégories de causes d’incident: facteurs système (données d’entraînement/feedback, méthodes d’apprentissage, prompts système, scaffolding), facteurs contextuels (définition de la tâche, outils et leurs accès, environnement informationnel incluant les injections de prompts) et erreurs cognitives observables de l’agent (observation, compréhension, décision, exécution). Il s’inspire des approches « human factors » (ex. HFACS) utilisées en aviation et autres domaines critiques. ...

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections. • Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts. ...

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...

Source: Black Hat USA (présentation ERNW). Contexte: étude financée par le BSI allemand (2024–2026) visant à disséquer des composants de sécurité Windows, dont Windows Hello for Business (WHfB) et le Windows Biometric Service (WBS). Les chercheurs détaillent l’architecture de WHfB, l’initialisation et les pipelines du Windows Biometric Service, ainsi que le mode Enhanced Sign-in Security (ESS) impliquant VBS/VTL et l’isolement (BioIso.exe). Ils décrivent les flux d’authentification biométrique, l’intégration LSASS/TPM, et la gestion des unités biométriques (capteur/engine/storage). ...

Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiée en août 2025, TLP:CLEAR. Elle décrit une campagne d’espionnage conduite par des APT chinoises visant des réseaux mondiaux (télécoms, gouvernement, transport, hôtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activités se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor. ...

Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnérabilité BadSuccessor (CVE-2025-53779) dans Active Directory, liée aux nouveaux comptes dMSA sous Windows Server 2025. Avant patch, BadSuccessor permettait à un utilisateur faiblement privilégié de lier un delegated Managed Service Account (dMSA) à n’importe quel compte AD, poussant le KDC à fusionner les privilèges dans le PAC et à retourner un paquet de clés Kerberos du compte cible, entraînant une élévation directe au niveau Domain Admin. ...

Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses. • Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingénierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accès à distance et déployer des malwares. Les campagnes observées s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rôles de « IT SUPPORT », « Help Desk », etc., parfois agrémentés d’un ✅ dans le nom pour simuler une vérification. Ces identités tirent parti de tenants onmicrosoft.com aux conventions de nommage génériques (admin, engineering, supportbotit). Les cibles sont variées mais basées en régions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...