Malware

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

Selon un article publié par The Register, des cybercriminels ont créé un faux installateur pour le modèle d’IA chinois DeepSeek-R1, y intégrant un malware inédit nommé ‘BrowserVenom’. Ce malware est capable de rediriger tout le trafic des navigateurs via un serveur contrôlé par les attaquants, permettant ainsi le vol de données, la surveillance des activités de navigation et l’exposition potentielle de trafic en clair. Les informations sensibles telles que les identifiants de connexion, les cookies de session, les informations financières, ainsi que les emails et documents sensibles sont à risque. ...

CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif. Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants. ...

L’article publié par le Threat Research Center de Palo Alto Networks le 6 juin 2025, offre une analyse approfondie du malware Blitz, découvert en 2024 et toujours en développement actif en 2025. Ce malware cible les utilisateurs de triches de jeux en utilisant des logiciels de triche compromis pour se propager. Blitz est un malware en deux étapes : un téléchargeur et un bot. Le bot permet de contrôler un hôte Windows infecté et dispose de fonctionnalités telles que le vol d’informations, la capture d’écran et les attaques par déni de service (DoS). Le malware utilise la plateforme Hugging Face Spaces pour héberger ses composants et son infrastructure de commande et contrôle (C2). ...

L’équipe de recherche sur les menaces de Socket a mis en lumière une menace sérieuse concernant des packages npm malveillants. Ces packages, publiés par un utilisateur npm sous le pseudonyme botsailer, utilisent l’email anupm019@gmail[.]com pour se faire passer pour des utilitaires légitimes. Les deux packages concernés, express-api-sync et system-health-sync-api, contiennent des portes dérobées qui enregistrent des endpoints cachés. Ces endpoints, lorsqu’ils sont activés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui peuvent effacer des répertoires entiers d’applications, causant ainsi des dommages potentiellement dévastateurs aux systèmes de production. ...

Selon CloudSEK, une nouvelle campagne de malware a été détectée, ciblant les utilisateurs de macOS avec un logiciel malveillant connu sous le nom de Atomic macOS Stealer (AMOS). Cette campagne utilise la tactique de social engineering ClickFix pour inciter les utilisateurs à télécharger ce malware. Les attaquants exploitent des domaines de typosquatting imitant le fournisseur de télécommunications américain Spectrum pour tromper les utilisateurs. Cela montre une sophistication croissante dans l’utilisation de techniques de manipulation psychologique pour cibler des systèmes spécifiques. ...

L’article de GBHackers Security annonce que le Département d’État américain a mis en place une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information menant à l’identification ou à la localisation de Maxim Alexandrovich Rudometov. Ce dernier est soupçonné d’être le développeur et administrateur du malware RedLine, un outil de vol d’informations notoire. Cette initiative fait partie du programme Rewards for Justice, qui cible spécifiquement les individus opérant sous la direction de gouvernements étrangers. Le programme vise à renforcer la sécurité nationale en neutralisant les menaces posées par les cybercriminels internationaux. ...

L’article de BleepingComputer rapporte que le Département d’État des États-Unis a annoncé une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information menant à l’identification ou la localisation de hackers parrainés par le gouvernement, impliqués dans l’opération de malware RedLine. Le malware RedLine est connu pour être un infostealer, un type de logiciel malveillant conçu pour voler des informations sensibles telles que des identifiants de connexion, des informations financières et d’autres données personnelles. Ce logiciel malveillant a été largement utilisé pour cibler des individus et des organisations à travers le monde, causant des pertes financières et compromettant la sécurité des données. ...

L’actualité provient de site institutionel du Canton de Schaffhouse et met en garde contre une campagne de phishing en cours impliquant de faux e-mails prétendant provenir du « Kanton Schaffhausen ». Ces e-mails promettent une fausse restitution et contiennent un lien qui mène au téléchargement d’un logiciel malveillant permettant la prise de contrôle à distance des ordinateurs des victimes. Les autorités recommandent de ne pas suivre les instructions contenues dans ces e-mails, de les supprimer et de les marquer comme spam. ...

Selon une publication de Malwarebytes, des cybercriminels exploitent la saison des vacances pour lancer une campagne de redirection via des sites de jeux et des réseaux sociaux vers de faux sites se faisant passer pour Booking.com. Cette campagne a commencé à mi-mai et les destinations de redirection changent tous les deux à trois jours. Les utilisateurs sont dirigés vers des sites utilisant une fausse CAPTCHA pour accéder au presse-papiers des visiteurs et les inciter à exécuter un commande PowerShell malveillante. Cette commande télécharge et exécute un fichier détecté comme Backdoor.AsyncRAT, permettant aux attaquants de contrôler à distance les appareils infectés. ...