[Newsletter] Erreur 403 | #70 - Encore une nouvelle attaque supply chain (npm Axios)
https://infosec.pub/post/44498960
[Newsletter] Erreur 403 | #70 - Encore une nouvelle attaque supply chain (npm Axios) - Infosec.Pub
Nouvelle attaque supply chain (npm Axios), Cisco piraté via Trivy, fuite
accidentelle du code source de Claude Code, ShinyHunters revendique le piratage
de la Commission européenne, faille critique PTC Windchill qui déclenche
l’intervention de la police allemande, exfiltration de données de détenteurs
d’armes en France, le mode Isolement d’Apple résiste à Pegasus, etc.
En Italie, une « fausse version » de WhatsApp contenait en fait un logiciel espion
https://infosec.pub/post/44498958
En Italie, une « fausse version » de WhatsApp contenait en fait un logiciel espion - Infosec.Pub
WhatsApp explique à TechCrunch
[https://techcrunch.com/2026/04/01/whatsapp-notifies-hundreds-of-users-who-installed-a-fake-app-that-was-actually-government-spyware/]
avoir informé « environ 200 utilisateurs » d’iPhone, principalement en Italie,
qu’ils avaient été manipulés pour installer une « fausse version malveillante »
de l’application de messagerie contenant en réalité un logiciel espion : « Nous
les avons déconnectés, les avons avertis des risques pour leur vie privée et
leur sécurité liés au téléchargement de faux clients non officiels, et les avons
encouragés à le désinstaller et à télécharger l’application officielle WhatsApp.
» TechCrunch illustre son article avec une « capture d’écran de la notification
envoyée par WhatsApp aux utilisateurs pour les inviter à télécharger
l’application officielle », mais sans expliquer comment WhatsApp aurait réussi,
ni à identifier les utilisateurs de la « fausse version malveillante » de
l’application, ni à communiquer avec eux via cette dernière.
[https://infosec.pub/pictrs/image/e3fd9375-39bb-4efd-9611-e3924f073bc4.webp]
[VULN] Faille React2Shell Next.js : 766 hôtes compromis CVE-2025-55182
https://infosec.pub/post/44498787
[VULN] Faille React2Shell Next.js : 766 hôtes compromis CVE-2025-55182 - Infosec.Pub
Des pirates informatiques exploitent la vulnérabilité CVE-2025-55182 pour
compromettre 766 serveurs Next.js et dérober des identifiants. Une opération de
collecte d’identifiants à grande échelle a été observée, exploitant la
vulnérabilité de React2Shell comme vecteur d’infection initial pour voler à
grande échelle des identifiants de base de données, des clés privées SSH, des
secrets Amazon Web Services (AWS), l’historique des commandes shell, des clés
API Stripe et des jetons GitHub. Cisco Talos a attribué cette opération à un
groupe de menaces qu’il suit sous la désignation UAT-10608 . Au moins 766 hôtes
répartis dans plusieurs régions géographiques et chez différents fournisseurs de
cloud ont été compromis lors de cette activité. « Après la compromission,
UAT-10608 exploite des scripts automatisés pour extraire et exfiltrer des
informations d’identification à partir de diverses applications, qui sont
ensuite publiées sur son serveur de commande et de contrôle (C2) », ont déclaré
les chercheurs en sécurité Asheer Malhotra et Brandon White dans un rapport
partagé avec The Hacker News avant sa publication. « Le C2 héberge une interface
utilisateur graphique (GUI) basée sur le Web, intitulée « NEXUS Listener », qui
peut être utilisée pour visualiser les informations volées et obtenir des
analyses à l’aide de statistiques précompilées sur les identifiants collectés et
les hôtes compromis. »
Dwell time en cybersécurité : définition et mode de calcul en 2026
https://infosec.pub/post/44498437
L’ombre de REvil : traque internationale des architectes d’une cybermenace systémique
https://infosec.pub/post/44498383
L’ombre de REvil : traque internationale des architectes d’une cybermenace systémique - Infosec.Pub
Les autorités allemandes identifient les leaders de GandCrab/REvil et émettent
des mandats internationaux, révélant l’ampleur d’un préjudice dépassant 35
millions d’euros. Le parquet de Karlsruhe et l’office régional de police
judiciaire du Baden-Württemberg ont officiellement identifié deux figures
centrales associées aux gangs de ransomware GandCrab et REvil. Anatoly
Sergeevitsch Kravchuk, né le 13 juin 1982 en Ukraine, est suspecté d’avoir
exercé un rôle de direction opérationnelle majeure entre début 2019 et juillet
2021. Ses fonctions auraient consisté à coordonner les campagnes d’attaques, à
recruter des affiliés et à superviser la gestion des flux financiers.
Parallèlement, Daniil Maksimovich Shchukin, né le 5 octobre 1994 en Russie, est
désigné comme l’architecte technique principal. Il est accusé du développement
et de la maintenance des outils de chiffrement ainsi que des infrastructures de
gestion hébergées sur le dark web.
Du spam dans l’écosystème npm : de quoi s’agit-il et pourquoi est-ce dangereux ?
https://infosec.pub/post/44498334
Du spam dans l’écosystème npm : de quoi s’agit-il et pourquoi est-ce dangereux ? - Infosec.Pub
Qu’est-ce que les termes « bakso », « sate » et « rendang » vous évoquent ? Pour
beaucoup, la réponse est « rien », les gourmets y verront des plats indonésiens,
tandis que ceux qui suivent l’actualité de la cybersécurité penseront à une
attaque contre l’écosystème Node Package Manager (npm), l’outil qui permet aux
développeurs d’utiliser des bibliothèques prêtes à l’emploi au lieu d’écrire
chaque ligne de code à partir de zéro. À la mi-novembre, le chercheur en
sécurité Paul McCarty a annoncé avoir découvert une campagne de spam
[https://sourcecodered.com/indonesianfoods-npm-worm/] visant à encombrer le
registre npm. Bien entendu, il est déjà arrivé que des paquets inutiles
apparaissent dans le registre, mais dans ce cas précis, on a recensé des
dizaines de milliers de modules sans aucune utilité. Leur seul but était
d’introduire des dépendances totalement inutiles dans les projets. Les noms des
archives comportaient des noms de plats indonésiens et des termes culinaires
insérés au hasard, comme « bakso », « sate » et « rendang », ce qui a valu à la
campagne le surnom d’ »IndonesianFoods ». L’ampleur du phénomène était
impressionnante : au moment de la découverte, environ 86 000 paquets avaient été
recensés.
Un fichier malveillant sur WhatsApp prend le contrôle de votre PC, Microsoft tire la sonnette d'alarme
https://infosec.pub/post/44498151
Un fichier malveillant sur WhatsApp prend le contrôle de votre PC, Microsoft tire la sonnette d'alarme - Infosec.Pub
Vous recevez un message, un simple fichier .vbs via WhatsApp, qui ressemble à
n’importe quelle pièce jointe. VBScript est un langage qui est intégré à Windows
depuis des années. Il a été conçu à l’origine pour automatiser certaines des
tâches assez récurrentes. L’utilisateur ouvre alors le fichier et l’infection se
déclenche sans qu’il ait à faire quoi que ce soit d’autre. Windows se retourne
contre lui-même Une fois activé, le script ne télécharge pas de logiciel suspect
venu d’un serveur obscur. Il fouille la machine, récupère des utilitaires
Windows qui sont légitimes curl.exe et bitsadmin.exe notamment. Il peut ensuite
les rebaptiser avec des noms qui imitent des composants système ordinaires.
Vous cherchez des billets pour Céline Dion ? Une vague d'arnaques explose, comment les repérer
https://infosec.pub/post/44498113
Vous cherchez des billets pour Céline Dion ? Une vague d'arnaques explose, comment les repérer - Infosec.Pub
7 millions de fans pour 720 000 places de concert disponibles, et des escrocs à
l’œuvre avant même l’ouverture de la billetterie. Le retour de Céline Dion à
Paris La Défense Arena en septembre 2026 a déclenché une ruée dont profitent
deux types de fraudeurs très distincts. Trois millions de personnes inscrites à
la loterie pour accéder à la prévente, et simultanément, plus de dix millions de
tentatives de connexion attribuées à des bots en une seule nuit. Voilà ce qui se
passe sur Internet quand Céline Dion annonce son retour à Paris pour une série
de concerts à Paris la Défense Arena. Un engouement planétaire doublé d’une
infrastructure de fraude mise en place dès l’annonce officielle du 30 mars.
Plusieurs fans ont déjà perdu entre 170 et 440 euros sur des faux sites de
billetterie, alors que les ventes officielles n’ont pas encore vraiment démarré.
Des faux sites qui imitent jusqu’à la procédure bancaire Des domaines comme
celinediontour.fr [http://celinediontour.fr] ont été créés pour singer les
plateformes officielles : design crédible, catégories de places, prix légèrement
inférieurs au marché. Maïa Rinckenberger, responsable des réseaux sociaux chez
AEG, a remarqué sur l’un de ces faux sites un plan de salle complet avec des
tarifs par catégorie, 450 euros pour la fausse catégorie or, au-dessus des prix
réels.
Hasbro victime d’une cyberattaque, ses sites restent indisponibles
https://infosec.pub/post/44497960
Hasbro victime d’une cyberattaque, ses sites restent indisponibles - Infosec.Pub
Le géant américain du jouet Hasbro fait face à un incident de cybersécurité
majeur. Victime d’un accès non autorisé à ses systèmes, le groupe a mis une
partie de ses infrastructures hors ligne. Passer la publicité Avis de tempête
pour le fabricant de Play-Doh. Depuis quelques jours, le site officiel du géant
du jouet Hasbro est inaccessible, tout comme ceux de plusieurs de ses licences
phares telles que Peppa Pig, Transformers ou encore Monopoly. En tentant d’y
accéder, les internautes se heurtent à un simple message évoquant une «connexion
échouée» et une opération de maintenance en cours.
Cyberattaques ClickFix sur Mac : Apple dévoile sa contre-attaque
https://infosec.pub/post/44497861
Cyberattaques ClickFix sur Mac : Apple dévoile sa contre-attaque - Infosec.Pub
La riposte d’Apple contre les attaques ClickFix Face à l’explosion des attaques
ClickFix, Apple a décidé de prendre des mesures pour protéger macOS. Depuis la
mise à jour macOS Tahoe 26.4, l’ordinateur va intervenir lorsque l’utilisateur
copie une commande depuis Safari puis la colle dans Terminal. Le système
d’exploitation va alors prendre le temps d’analyser le contenu de la commande
pour déceler des éléments suspects. Si des instructions suspectes sont
épinglées, un avertissement va s’afficher à l’écran : « Logiciel malveillant
possible, collage bloqué. Votre Mac n’a pas été endommagé. Les escrocs
encouragent souvent à coller du texte dans le Terminal pour tenter de nuire à
votre Mac ou de compromettre votre vie privée. Ces instructions sont
généralement proposées via des sites web, des agents de chat, des applications,
des fichiers ou un appel téléphonique ». Vous pouvez évidemment passer outre de
l’avertissement d’Apple en cliquant sur « Coller quand même ». Apple n’a pas
précisé publiquement quels sont les éléments qui provoquent l’affichage d’une
alerte. Le géant de Cupertino souhaite probablement éviter que les
cybercriminels comprennent le fonctionnement du mécanisme et trouvent le moyen
de le contourner.
decio