Malware

Source : Securelist (Kaspersky). L’article présente une analyse de la campagne « Webrat », où un cheval de Troie est diffusé via des dépôts GitHub, se faisant passer pour des exploits de vulnérabilités critiques pour cibler des chercheurs en cybersécurité. Début 2025, des chercheurs en sécurité ont identifié une nouvelle famille de malwares baptisée Webrat. Initialement, ce cheval de Troie ciblait principalement des utilisateurs grand public en se faisant passer pour des cheats de jeux populaires (Rust, Counter-Strike, Roblox) ou des logiciels piratés. ...

Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se présentant comme un fork de “@whiskeysockets/baileys”. Le module, téléchargé plus de 56 000 fois, fonctionne réellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans éveiller de soupçons tout en dérobant des données sensibles. – Le package vole des jetons d’authentification, des clés de session WhatsApp, l’historique des messages (passés et présents), les annuaires de contacts (numéros) ainsi que les fichiers média et documents. Il maintient en outre un accès persistant aux comptes compromis. ...

Selon The Register (Connor Jones, 19 décembre 2025), des actes d’accusation fédéraux aux États-Unis visent des membres présumés du gang vénézuélien Tren de Aragua (TdA) pour une série d’attaques de jackpotting d’ATM impliquant une variante du malware Ploutus. • Deux inculpations ont été rendues au Nebraska, visant au total 54 membres présumés de TdA pour des attaques de jackpotting d’ATM à travers le pays 🏧. Les documents judiciaires décrivent des déplacements en groupe pour cibler des distributeurs gérés par certaines banques et coopératives de crédit, avec inspection des dispositifs de sécurité externes avant l’ouverture de la porte de l’ATM et vérification d’éventuelles alarmes. ...

ReversingLabs publie une enquête sur une campagne active depuis février 2025 révélant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dépendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dépendances pré-packagées dans le dossier node_modules dont le contenu a été altéré par l’attaquant. La dépendance populaire path-is-absolute a été modifiée localement (sans impact sur le package npm officiel) pour ajouter du code déclenché au démarrage de VS Code, chargé de décoder un dropper JavaScript stocké dans un fichier nommé ’lock’ (obfuscation par base64 puis inversion de la chaîne). ...

Selon BleepingComputer, les autorités ont mené deux opérations distinctes aboutissant à des arrestations en Espagne et en Ukraine, visant des individus soupçonnés d’infractions cyber liées au vol massif de données et au piratage de comptes. 🚔 En Espagne, la Police nationale a arrêté à Igualada (Barcelone) un suspect de 19 ans, accusé d’avoir accédé sans autorisation à neuf entreprises et d’avoir dérobé 64 millions d’enregistrements. Les données incluent des noms complets, adresses postales, emails, numéros de téléphone, numéros de DNI et codes IBAN. Le suspect fait face à des charges pour cybercriminalité, accès non autorisé, divulgation de données privées et atteintes à la vie privée. ...

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Selon Aikido (blog Aikido.dev), une « seconde frappe » de la campagne Shai‑Hulud a été détectée le 24 novembre 2025, opportunément calée avant la révocation des « classic tokens » npm prévue le 9 décembre, alors que de nombreux éditeurs n’avaient pas encore migré vers Trusted Publishing. • Nature de l’attaque: ver npm auto‑réplicant visant la chaîne d’approvisionnement. Une fois installé (pendant l’installation des dépendances), il cherche des secrets (API keys, tokens cloud, GitHub/npm) via TruffleHog, exfiltre vers des dépôts GitHub publics et tente de publier de nouveaux paquets npm infectés pour se propager. L’attaquant nomme cette vague « Second Coming » et a exposé environ 26,3k dépôts GitHub contenant des secrets avec la description « Sha1‑Hulud: The Second Coming ». ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...