Des packages PYPI malveillants volent des jetons nuageux avant le retrait - Actus du 15/03/2025
Découvrez comment des packages PYPI malveillants ont volé des jetons cloud lors de 14 100 téléchargements, les astuces de phishing Coinbase avec de fausses migrations de portefeuille, et l'impact d'une panne d'échange en ligne d'une semaine provoquant des échecs par e-mail et des retards.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les packages PYPI malveillants ont volé des jetons nuageux - sur 14 100 téléchargements avant le retrait
Des chercheurs en cybersécurité ont alerté sur une campagne malveillante visant les utilisateurs du dépôt Python Package Index (PyPI), avec des bibliothèques frauduleuses se faisant passer pour des utilitaires liés au temps, mais intégrant des fonctionnalités cachées pour voler des données sensibles, comme des jetons d'accès au cloud. La société de sécurité des chaînes d'approvisionnement ReversingLabs a identifié deux ensembles de paquets totalisant 20, téléchargés plus de 14 100 fois. Les paquets, tels que "aclient-sdk" et "credential-python-sdk", sont conçus pour exfiltrer des secrets cloud. Bien que tous les paquets identifiés aient été retirés de PyPI, trois d'entre eux, "aclient-client", "enumer-iam" et "tcloud-python-test", étaient des dépendances d'un projet GitHub populaire, "accesskey_tools". Ce dernier a été mis à jour récemment, indiquant que "tcloud-python-test" était disponible sur PyPI depuis le 8 novembre 2023. Parallèlement, Fortinet FortiGuard Labs a découvert des milliers de paquets sur PyPI et npm, certains intégrant des scripts d'installation suspects pouvant déployer du code malveillant. Les URL suspectes dans 974 paquets sont liées à des risques d'exfiltration de données et d'autres actions malveillantes, soulignant l'importance de surveiller les dépendances externes.
Sources :
Coinbase Phishing Tricks Tricks avec une fausse migration de portefeuille
Une attaque de phishing à grande échelle cible les utilisateurs de Coinbase en se faisant passer pour une migration obligatoire de portefeuille. Les victimes reçoivent un e-mail les incitant à créer un nouveau portefeuille avec une phrase de récupération pré-générée contrôlée par les attaquants. L'e-mail, qui semble provenir de SendGrid et d'un compte Akamai, réussit à passer les vérifications de sécurité SPF, DMARC et DKIM, contournant ainsi les filtres anti-spam. Akamai a reconnu être au courant de cette escroquerie et a déclaré qu'elle prenait la sécurité de l'information très au sérieux. Les phrases de récupération, essentielles pour accéder aux portefeuilles de cryptomonnaies, peuvent être utilisées par quiconque les connaît pour voler des fonds. Coinbase a averti les utilisateurs sur X, rappelant qu'ils ne demanderont jamais de phrases de récupération. Les victimes doivent agir rapidement pour transférer leurs fonds vers un portefeuille sécurisé. Cette escroquerie souligne l'importance de ne jamais partager ou utiliser des phrases de récupération fournies par e-mail, car elles sont souvent utilisées pour voler des cryptomonnaies. Les utilisateurs sont encouragés à faire preuve de vigilance face aux e-mails non sollicités demandant des informations personnelles.
Sources :
La panne en ligne d'échange d'une semaine provoque des échecs par e-mail, des retards
Microsoft a annoncé avoir partiellement atténué une panne d'Exchange Online qui a duré une semaine, entraînant des retards et des échecs dans l'envoi et la réception d'e-mails. Bien que l'entreprise n'ait pas fourni de détails publics sur l'incident, il a été classé comme un problème de service critique sous la référence EX1027675 dans le Microsoft 365 Admin Center. Les utilisateurs du monde entier ont signalé des échecs de livraison d'e-mails, recevant des rapports de non-livraison (NDR) avec l'erreur "554 5.6.0 Corrupt message content". La panne a été reconnue pour la première fois le 10 mars, bien qu'elle ait commencé le 7 mars. Microsoft a expliqué qu'une mise à jour de service récente avait introduit un problème de code affectant une partie de l'infrastructure. En outre, les utilisateurs ont rencontré des difficultés pour envoyer des e-mails avec des fichiers joints, mais l'envoi de fichiers ZIP permettait de contourner le problème. Un incident distinct, EX1030895, continue d'affecter certains messages, et Microsoft travaille sur une solution. L'entreprise surveille également la santé globale du service tout en cherchant la cause profonde des échecs de livraison d'e-mails.
Sources :
Ransomware Gang crée un outil pour automatiser les attaques de force brute VPN
Le groupe de ransomware Black Basta a développé un outil automatisé appelé 'BRUTED' pour mener des attaques par force brute sur des dispositifs de réseau tels que des pare-feu et des VPN. Cette plateforme permet à Black Basta d'accéder plus facilement aux réseaux et d'intensifier ses attaques sur des points d'accès exposés à Internet. La découverte de BRUTED a été faite par le chercheur Arda Büyükkaya d'EclecticIQ, qui a analysé des journaux de discussion internes du gang. Depuis 2023, BRUTED est utilisé pour des attaques à grande échelle sur des produits VPN comme SonicWall, Palo Alto et Cisco. L'outil identifie les cibles en énumérant des sous-domaines et en résolvant des adresses IP, puis récupère des mots de passe à partir d'un serveur distant pour exécuter des requêtes d'authentification. Pour éviter la détection, BRUTED utilise des proxies SOCKS5. Bien qu'il n'exploite pas de vulnérabilités, il souligne l'importance de mots de passe forts et de l'authentification multi-facteurs pour protéger les dispositifs. EclecticIQ a également fourni des adresses IP utilisées par BRUTED pour aider à renforcer la sécurité des réseaux.
Sources :
La vulnérabilité Cisco IOS XR permet aux attaquants de plonger BGP sur les routeurs
Cisco a corrigé une vulnérabilité de déni de service (DoS) affectant le protocole Border Gateway Protocol (BGP) sur ses routeurs IOS XR, permettant à des attaquants de provoquer un crash du processus BGP avec un seul message de mise à jour. Cette faille, identifiée sous le numéro CVE-2025-20115, concerne les appareils IOS XR configurés pour utiliser la confédération BGP. L'exploitation réussie de cette vulnérabilité permet à des attaquants non authentifiés de provoquer une corruption de mémoire via un débordement de tampon, entraînant un redémarrage du processus BGP. Cisco a précisé que la vulnérabilité se manifeste lorsque l'attribut ASCONFEDSEQUENCE contient 255 numéros de systèmes autonomes (AS). Pour limiter les impacts potentiels, il est conseillé de restreindre cet attribut à 254 AS ou moins. Bien que Cisco n'ait trouvé aucune preuve d'exploitation active de cette vulnérabilité, des détails techniques supplémentaires ont été publiés sur le blog d'APNIC. Parallèlement, Cisco a averti de vulnérabilités dans d'autres produits, incitant les clients à mettre à jour leur matériel pour remédier aux failles de sécurité.
