GitHub visé par des commits malveillants pour piéger les chercheurs - Actus du 16/11/2024
Découvrez comment des projets GitHub sont compromis par des commits malveillants, la vulnérabilité critique de pare-feu PAN-OS exploitée activement, et l'alerte sur le malware DEEPDATA ciblant les failles Fortinet pour voler vos identifiants VPN. Protégez votre sécurité !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des projets GitHub ciblés par des commits malveillants visant à piéger un chercheur
Récemment, le dépôt GitHub d'Exo Labs, une startup spécialisée en IA et apprentissage automatique, a été ciblé par une tentative d'injection de backdoor via une pull request apparemment innocente. Alex Cheema, co-fondateur d'Exo Labs, a alerté sur un changement de code intitulé "clarify mlx requirement for deepseek models", qui aurait pu permettre l'exécution de code malveillant sur les systèmes des utilisateurs si la modification avait été acceptée. Le commit provenait d'un utilisateur GitHub, "evildojo666", dont le compte a depuis été supprimé. Ce dernier a été lié à Mike Bell, un chercheur en sécurité qui nie toute implication, affirmant qu'il est victime d'usurpation d'identité. D'autres comptes, comme "darkimage666", ont également été identifiés dans cette campagne malveillante. Des projets open source, tels que "yt-dlp", ont également été ciblés, avec au moins 18 instances similaires de pull requests malveillantes détectées. Bien que l'incident ait été rapidement maîtrisé, il rappelle l'attaque de la chaîne d'approvisionnement xz, soulignant la nécessité pour les mainteneurs de projets open source de vérifier minutieusement les pull requests, même celles provenant de contributeurs apparemment de bonne foi.
Sources :
Vulnérabilité du pare-feu PAN-OS en cours d'exploitation active – IoCs publiés
Palo Alto Networks a publié de nouveaux indicateurs de compromission (IoCs) suite à la confirmation d'une vulnérabilité zero-day affectant son interface de gestion PAN-OS, exploitée activement. La société a observé des activités malveillantes provenant de certaines adresses IP ciblant cette interface accessible sur Internet. Bien que ces adresses puissent représenter des VPN tiers avec une activité légitime, la vulnérabilité permet le déploiement d'un web shell sur les dispositifs compromis, offrant un accès distant persistant aux acteurs malveillants. Classée avec un score CVSS de 9.3, cette faille permet l'exécution de commandes à distance sans authentification ni interaction utilisateur, avec une complexité d'attaque jugée "faible". Si l'accès à l'interface de gestion est restreint à un nombre limité d'adresses IP, la gravité de la vulnérabilité est réduite à un score de 7.5. Depuis le 8 novembre 2024, Palo Alto Networks conseille à ses clients de sécuriser leurs interfaces de gestion, alors que des rapports indiquent une exploitation active de plusieurs autres vulnérabilités critiques. Aucun correctif n'est encore disponible, rendant urgente la sécurisation de l'accès à l'interface de gestion.
Sources :
Avertissement : le logiciel malveillant DEEPDATA exploite une faille non corrigée de Fortinet pour voler les identifiants VPN
Un acteur malveillant connu sous le nom de BrazenBamboo a exploité une vulnérabilité non résolue dans Fortinet FortiClient pour Windows afin d'extraire des identifiants VPN, dans le cadre d'un cadre modulaire appelé DEEPDATA. Volexity a révélé cette exploitation de type zero-day en juillet 2024, identifiant BrazenBamboo comme le développeur de DEEPDATA, DEEPPOST et LightSpy. DEEPDATA est un outil modulaire de post-exploitation pour Windows, conçu pour collecter diverses informations sur les appareils cibles. Le malware a été associé à l'acteur de menace APT41, lié à la Chine, qui utilise cette technologie pour collecter des données sur plusieurs applications de communication. Le composant principal de DEEPDATA, un chargeur DLL nommé "data.dll", déploie 12 plugins, dont un DLL "FortiClient" capable de capturer des identifiants VPN en exploitant une vulnérabilité zero-day. Bien que Volexity ait signalé cette faille à Fortinet le 18 juillet 2024, elle reste non corrigée. BrazenBamboo, avec ses outils DEEPDATA et DEEPPOST, démontre des capacités d'espionnage cybernétique avancées, suggérant une entreprise privée développant des outils pour des opérateurs gouvernementaux.
Sources :
Le groupe NSO a utilisé une autre faille zero-day sur WhatsApp après avoir été poursuivi en justice, selon les documents judiciaires
Le groupe israélien NSO a continué à exploiter des vulnérabilités de WhatsApp pour déployer son logiciel espion Pegasus, même après avoir été poursuivi en justice. Selon des documents judiciaires, NSO a utilisé plusieurs exploits, dont un nommé "Erised", pour mener des attaques sans interaction de la part des victimes. Pegasus, commercialisé comme un logiciel de surveillance pour les gouvernements, permet une surveillance extensive des appareils compromis. Avant avril 2018, NSO avait développé un exploit appelé "Heaven", utilisant un client WhatsApp personnalisé pour installer Pegasus à distance. Bien que WhatsApp ait bloqué cet accès avec des mises à jour de sécurité en 2018, NSO a ensuite créé un autre exploit, "Eden", qui a été utilisé pour cibler environ 1 400 appareils. Les documents révèlent que NSO a continué à utiliser Erised après le dépôt de la plainte en octobre 2019, jusqu'à ce que WhatsApp renforce ses protections. NSO a admis avoir exploité WhatsApp pour installer Pegasus sur "des centaines à des dizaines de milliers" d'appareils, tout en niant toute responsabilité quant aux actions de ses clients. Le logiciel a été utilisé pour cibler des politiciens, journalistes et diplomates.
Sources :
Un botnet exploite la faille zero-day de GeoVision pour installer le malware Mirai
Un botnet exploite une vulnérabilité zero-day dans des dispositifs GeoVision obsolètes pour les compromettre et les recruter, probablement pour des attaques DDoS ou de cryptomining. La faille, identifiée comme CVE-2024-11120, est une injection de commande OS de gravité critique (score CVSS v3.1 : 9.8), permettant à des attaquants non authentifiés d'exécuter des commandes système arbitraires. Selon le CERT de Taïwan, cette vulnérabilité a déjà été exploitée, avec environ 17 000 dispositifs GeoVision exposés en ligne. Les modèles affectés incluent des serveurs vidéo et des enregistreurs numériques, tous en fin de vie et sans mises à jour de sécurité. La majorité des dispositifs vulnérables se trouvent aux États-Unis, suivis par l'Allemagne et le Canada. Les signes de compromission incluent une surchauffe, un ralentissement et des modifications de configuration. Les utilisateurs sont conseillés de réinitialiser leurs dispositifs, de changer les mots de passe par défaut et de désactiver l'accès à distance. Il est recommandé de remplacer ces dispositifs par des modèles soutenus ou, à défaut, de les isoler sur un réseau dédié et de les surveiller attentivement.
Sources :
La FTC signale une baisse de 50 % des plaintes pour appels indésirables depuis 2021
Le 15 novembre 2024, la Federal Trade Commission (FTC) des États-Unis a annoncé une baisse de plus de 50 % des plaintes concernant les appels téléphoniques indésirables depuis 2021, poursuivant une tendance amorcée il y a trois ans. En 2024, la FTC a reçu 1,1 million de rapports sur les robocalls, contre 1,2 million en 2023 et plus de 3,4 millions en 2021. Le rapport annuel sur le registre national "Do Not Call" révèle que les plaintes les plus fréquentes concernent des appels non sollicités liés à des questions médicales et de prescription, avec plus de 170 000 signalements. Les imposteurs et les appels liés à la réduction de dettes figurent également parmi les plaintes les plus courantes. Cette diminution est attribuée à des efforts continus pour lutter contre le télémarketing indésirable, notamment grâce au registre DNC, qui compte 254 millions d'inscriptions actives. La FTC a également lancé l'opération "Stop Scam Calls" pour cibler les pratiques illégales et a mis en place des règles pour interdire l'imitation des gouvernements et des entreprises. D'autres initiatives visent à protéger contre les appels frauduleux utilisant l'intelligence artificielle.
Sources :
Un pirate informatique de Bitfinex condamné à 5 ans de prison pour le vol de 120 000 bitcoins
Ilya Lichtenstein, un hacker, a été condamné à cinq ans de prison pour avoir volé 119 754 bitcoins lors d'un piratage de l'échange de cryptomonnaies Bitfinex en 2016. Son arrestation en février 2022 à Manhattan a été le résultat d'une enquête approfondie menée par l'IRS, HSI et le FBI, qui a réussi à récupérer environ 80 % des fonds volés, soit 94 000 bitcoins. À l'époque du vol, la valeur des bitcoins était de 78 millions de dollars, mais elle a atteint 3,6 milliards de dollars lors de la saisie. Lichtenstein a été accusé de blanchiment d'argent, utilisant des identités fictives et des outils d'automatisation pour disperser les fonds volés sur divers marchés darknet. Il a exploité une vulnérabilité dans le système de retraits multi-signatures de Bitfinex pour autoriser frauduleusement plus de 2 000 transactions. En 2019, son opération de blanchiment avait atteint une échelle considérable, impliquant des milliers d'adresses intermédiaires. Le 3 août 2023, il a plaidé coupable, risquant jusqu'à 20 ans de prison, mais a finalement été condamné à cinq ans, avec trois ans de libération surveillée. Sa femme, Heather Morgan, sera également condamnée prochainement.
