TTP

Selon Aikido (blog Aikido.dev), une « seconde frappe » de la campagne Shai‑Hulud a été détectée le 24 novembre 2025, opportunément calée avant la révocation des « classic tokens » npm prévue le 9 décembre, alors que de nombreux éditeurs n’avaient pas encore migré vers Trusted Publishing. • Nature de l’attaque: ver npm auto‑réplicant visant la chaîne d’approvisionnement. Une fois installé (pendant l’installation des dépendances), il cherche des secrets (API keys, tokens cloud, GitHub/npm) via TruffleHog, exfiltre vers des dépôts GitHub publics et tente de publier de nouveaux paquets npm infectés pour se propager. L’attaquant nomme cette vague « Second Coming » et a exposé environ 26,3k dépôts GitHub contenant des secrets avec la description « Sha1‑Hulud: The Second Coming ». ...

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie. ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...

Source: Socket (Socket Threat Research Team). Contexte: publication détaillant une campagne npm où un acteur (« dino_reborn ») combine cloaking Adspect, anti‑analyse JavaScript et faux CAPTCHAs pour trier visiteurs/victimes et orchestrer des redirections vers des sites d’arnaques crypto. 🪤 Vue d’ensemble. Sept paquets npm sont impliqués: six contiennent un binaire JS (~39 kB) malveillant et un sert de page « blanche » (leurre). Le code s’exécute via IIFE, profile finement le visiteur, puis interroge l’API Adspect via des proxys PHP. Si le visiteur est jugé « chercheur », une page blanche (Offlido) s’affiche; sinon, une fausse CAPTCHA s’affiche puis ouvre un nouvel onglet vers une URL retournée dynamiquement par Adspect. Les marques affichées (standx.com, jup.ag, uniswap.org) servent à rendre la CAPTCHA crédible. ...

Selon Binding Hook / Valentin Weber (22 novembre 2025), l’approche chinoise face aux attributions d’opérations cyber a évolué vers une posture offensive de contre‑attribution et de désinformation, avec des exemples phares comme Volt Typhoon, incitant les pays occidentaux et partenaires à adapter leurs méthodes. La Chine, déjà puissance affirmée dans le cyberespace, voit des opérations de l’Armée populaire de libération devenir plus audacieuses, notamment avec Volt Typhoon repéré en pré‑positionnement dans des infrastructures critiques américaines. À mesure que les attributions à son encontre se multiplient, Pékin a parallèlement fait évoluer sa stratégie de contre‑attribution. ...

Source : SecurityScorecard (équipe STRIKE). Ce billet présente l’opération WrtHug, une campagne à grande échelle ciblant des routeurs ASUS WRT, principalement des appareils en fin de vie, afin de les intégrer à une infrastructure d’espionnage globale. • Portée et attribution présumée : plus de 50 000 adresses IP uniques de routeurs compromis ont été observées sur six mois. L’équipe STRIKE évalue avec confiance faible à modérée qu’il s’agit d’une campagne ORB (Operational Relay Box) menée par un acteur affilié à la Chine 🕵️‍♂️. De 30 à 50 % des appareils touchés seraient situés à Taïwan, avec d’autres foyers aux États-Unis, en Russie, en Asie du Sud-Est et en Europe. ...

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Selon CrowdStrike Research, des tests indépendants du modèle DeepSeek‑R1 (671B, publié en janvier 2025 par la startup chinoise DeepSeek) indiquent que certains déclencheurs politiques dans les prompts font significativement varier la sécurité du code généré. L’étude a été menée sur le modèle brut open source (hors garde‑fous API) et comparée à d’autres LLMs open source occidentaux, ainsi qu’à une version distillée (DeepSeek‑R1‑distill‑llama‑70B). ⚙️ Résultats de base: DeepSeek‑R1 est globalement performant en génération de code, avec un taux de vulnérabilités de 19% sans déclencheurs. Les modèles de raisonnement produisent en moyenne un code plus sûr que les non‑raisonnants; les modèles plus récents s’en sortent mieux que les plus anciens. ...