Malware

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Selon Aikido (blog Aikido.dev), une « seconde frappe » de la campagne Shai‑Hulud a été détectée le 24 novembre 2025, opportunément calée avant la révocation des « classic tokens » npm prévue le 9 décembre, alors que de nombreux éditeurs n’avaient pas encore migré vers Trusted Publishing. • Nature de l’attaque: ver npm auto‑réplicant visant la chaîne d’approvisionnement. Une fois installé (pendant l’installation des dépendances), il cherche des secrets (API keys, tokens cloud, GitHub/npm) via TruffleHog, exfiltre vers des dépôts GitHub publics et tente de publier de nouveaux paquets npm infectés pour se propager. L’attaquant nomme cette vague « Second Coming » et a exposé environ 26,3k dépôts GitHub contenant des secrets avec la description « Sha1‑Hulud: The Second Coming ». ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met à jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA génératives » et documente l’intégration active d’IA dans des opérations réelles, depuis la reconnaissance jusqu’à l’exfiltration. • Points clés: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exécution (« just-in-time »), l’usage de prétextes de type ingénierie sociale pour contourner les garde-fous, la montée d’un marché cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs étatiques (Chine, Iran, Corée du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

Selon Help Net Security, YouTube (2,53 milliards d’utilisateurs) est devenu un terrain où coexistent divertissement, information et tromperie, avec une hausse notable des abus exploitant les failles de l’écosystème. L’article met en avant la prolifération d’arnaques et de deepfakes, ainsi que des promotions camouflant des liens malveillants derrière des logos familiers. Il cite aussi la présence de malware dans des vidéos tutoriels, des comptes de créateurs détournés, et des contenus de fraude à l’investissement devenus récurrents. ...

Contexte — The Register (Carly Page) rapporte que Google, en collaboration avec Check Point, a supprimé des milliers de vidéos malveillantes publiées sur YouTube par un réseau baptisé ‘YouTube Ghost Network’, actif depuis 2021 et fortement intensifié en 2025. Le mode opératoire reposait sur des comptes YouTube légitimes compromis et des faux comptes orchestrés pour publier des tutoriels promettant des copies piratées de logiciels (Photoshop, FL Studio, Microsoft Office, Lightroom, outils Adobe) et des cheats de jeux, notamment pour Roblox 🎮. Les victimes étaient incitées à désactiver leur antivirus puis à télécharger des archives depuis Dropbox, Google Drive ou MediaFire contenant des infostealers comme Rhadamanthys et Lumma, qui exfiltraient identifiants, portefeuilles crypto et données système vers des serveurs de commande et contrôle (C2). Certains contenus redirigeaient aussi vers des pages de phishing hébergées sur Google Sites visant des utilisateurs de cryptomonnaies. ...