Un mineur de crypto-monnaie découvert dans la librairie d'IA d'Ultralytics - Actus du 07/12/2024
Restez vigilant : Ultralytics compromis, cryptomineur caché dans PyPI ! Assistez à notre webinaire pour sécuriser vos comptes privilégiés et découvrez comment les cyberpirates ciblent le Web3 via de fausses applis de vidéoconférence. Protégez vos données maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La bibliothèque d'IA d'Ultralytics compromise : un mineur de crypto-monnaie trouvé dans les versions de PyPI
Une attaque récente sur la chaîne d'approvisionnement logicielle a compromis deux versions d'une bibliothèque Python populaire, Ultralytics, pour y insérer un mineur de cryptomonnaie. Les versions 8.3.41 et 8.3.42 ont été retirées du dépôt Python Package Index (PyPI) après que des utilisateurs aient signalé une augmentation significative de l'utilisation du CPU, indicatif d'un minage de cryptomonnaie. Glenn Jocher, le mainteneur du projet, a confirmé que le code malveillant avait été injecté dans le flux de publication de PyPI, exploitant une vulnérabilité dans un script GitHub Actions. Cela a permis aux attaquants de modifier le code après la révision, créant une divergence entre le code source sur PyPI et celui sur GitHub. Un compte GitHub nommé openimbot a été identifié comme source des demandes de tirage malveillantes. ComfyUI, qui dépend d'Ultralytics, a mis à jour son gestionnaire pour alerter les utilisateurs des versions compromises. Bien que le payload malveillant soit un mineur XMRig, des experts avertissent que des attaques plus agressives pourraient être envisagées à l'avenir, comme l'insertion de portes dérobées ou de chevaux de Troie d'accès à distance. Les utilisateurs sont donc conseillés de mettre à jour vers la dernière version.
Sources :
Découvrez comment les experts sécurisent les comptes privilégiés – Webinaire sur les stratégies PAS éprouvées
Les cybercriminels ciblent les comptes privilégiés, considérés comme des clés d'accès aux données sensibles. Un seul compte compromis peut entraîner des pertes de données, des interruptions d'activité et des pertes financières considérables. Même les grandes organisations peinent à sécuriser ces comptes en raison des lacunes des solutions traditionnelles de gestion des accès privilégiés (PAM), qui présentent des points aveugles, des processus de déploiement complexes, une découverte manuelle des comptes chronophage, une application faible du principe du moindre privilège et des failles permettant aux administrateurs de contourner les contrôles. Pour remédier à ces vulnérabilités, le webinaire "Prévenir l'escalade des privilèges : pratiques PAS efficaces pour le paysage de menaces actuel" propose des stratégies pour sécuriser les comptes privilégiés. Les participants apprendront à identifier et corriger les failles, à surveiller les activités des utilisateurs privilégiés, à appliquer des politiques de moindre privilège et à adapter les meilleures pratiques à leurs besoins. Ce webinaire s'adresse aux responsables de la sécurité, aux professionnels de la cybersécurité et aux agents de conformité. Inscrivez-vous pour acquérir les outils nécessaires à la protection de vos actifs critiques et renforcer la sécurité de votre organisation.
Sources :
Des pirates informatiques utilisent de fausses applications de vidéoconférence pour voler les données des professionnels du Web3
Des chercheurs en cybersécurité ont alerté sur une nouvelle campagne d'escroquerie utilisant de fausses applications de visioconférence pour diffuser un logiciel malveillant appelé Realst, ciblant les professionnels du Web3 sous prétexte de réunions d'affaires fictives. Les acteurs de la menace ont créé de fausses entreprises, utilisant l'IA pour renforcer leur légitimité, et contactent des cibles via Telegram pour discuter d'opportunités d'investissement. Les victimes sont invitées à télécharger une application de réunion depuis un site douteux, qui s'avère être le voleur d'informations Realst. Ce dernier vole des données sensibles, y compris des informations sur les portefeuilles de cryptomonnaies, et les envoie à un serveur distant. La version macOS affiche un message incitant l'utilisateur à entrer son mot de passe système pour fonctionner correctement, utilisant une technique osascript. La version Windows est signée avec une signature probablement volée. Cette campagne s'inscrit dans une tendance où les acteurs malveillants exploitent l'IA pour créer des contenus réalistes, rendant la détection des sites suspects plus difficile. Des campagnes similaires ont été observées précédemment, ciblant également les utilisateurs de cryptomonnaies.
Sources :
La Roumanie annule les résultats de l'élection présidentielle après une ingérence russe présumée sur TikTok
La Cour constitutionnelle de Roumanie a annulé les résultats du premier tour de l'élection présidentielle, en raison d'allégations d'ingérence russe, empêchant ainsi le second tour prévu pour le 8 décembre 2024. Călin Georgescu, vainqueur du premier tour, a qualifié cette décision de "coup d'État officialisé" et d'attaque contre la démocratie. La Cour a déclaré que le processus électoral serait entièrement repris, avec un nouveau calendrier à établir par le gouvernement. Cette décision fait suite à des documents déclassifiés affirmant qu'une campagne d'influence pro-russe avait utilisé 25 000 comptes sur TikTok pour soutenir Georgescu. Il n'est pas clair si ce dernier était au courant de cette campagne. Par ailleurs, le Service roumain de renseignement a révélé que le pays avait subi plus de 85 000 tentatives d'intrusion visant à accéder aux systèmes électoraux. Le département d'État américain a insisté sur la nécessité d'élections libres de toute influence étrangère. La Commission européenne a intensifié sa surveillance de TikTok, demandant la conservation des données liées aux risques systémiques pour les processus électoraux. TikTok a également annoncé avoir interrompu des campagnes clandestines en faveur de Georgescu.
Sources :
Microsoft étend la version préliminaire de Recall aux PC Intel et AMD Copilot+
Microsoft a élargi la préversion de sa fonctionnalité d'IA, Recall, aux PC Copilot+ équipés de processeurs AMD et Intel, dans le cadre du programme Windows 11 Insider. Après un lancement initial sur les PC Snapdragon le mois dernier, Recall, introduit en mai, prend des captures d'écran des fenêtres actives toutes les quelques secondes et permet aux utilisateurs de retrouver des instantanés spécifiques par langage naturel. Cependant, des experts ont soulevé des préoccupations concernant la sécurité, car cette fonctionnalité pourrait être exploitée par des attaquants pour voler des données. En réponse, Microsoft a rendu Recall facultatif et amovible, nécessitant une confirmation via Windows Hello. De plus, Recall filtre désormais les informations sensibles et permet aux utilisateurs d'exclure certaines applications ou sessions de navigation. David Weston, VP de la sécurité chez Microsoft, a mentionné des protections contre les malwares et des options de gestion des paramètres de stockage. Avec cette mise à jour, Recall prend également en charge plusieurs langues et est désormais disponible dans l'Espace économique européen. Parallèlement, des fonctionnalités supplémentaires pour l'application Photos de Microsoft ont été ajoutées, permettant de créer et de modifier des images. Ces changements sont déployés pour les Insiders dans le canal Dev.
Sources :
Le modèle d'IA d'Ultralytics détourné pour infecter des milliers de personnes avec un cryptominer
Le modèle d'IA Ultralytics YOLO11 a été compromis dans une attaque de chaîne d'approvisionnement, entraînant le déploiement de cryptomineurs sur des appareils utilisant les versions 8.3.41 et 8.3.42, disponibles sur le Python Package Index (PyPI). Ultralytics, une entreprise spécialisée dans la vision par ordinateur et l'IA, est connue pour son modèle de détection d'objets "YOLO". Les versions compromises ont été téléchargées massivement, entraînant des problèmes pour les utilisateurs, notamment des suspensions de comptes Google Colab pour "activité abusive". Lors de l'installation, un mineur XMRig était lancé, se connectant à un pool de minage. Glenn Jocher, le fondateur d'Ultralytics, a confirmé que seules ces deux versions étaient affectées et qu'une version propre (8.3.43) avait été publiée pour corriger le problème. L'équipe d'Ultralytics mène actuellement une enquête sur les causes de la compromission, qui semble provenir de deux demandes de tirage malveillantes soumises par un utilisateur à Hong Kong. Les utilisateurs ayant téléchargé les versions compromises sont conseillés d'effectuer une analyse complète de leur système. Une réponse officielle sur la situation est attendue.
Sources :
Le géant SaaS Blue Yonder victime d'une attaque de ransomware par le gang Termite
Le 6 décembre 2024, le groupe de ransomware Termite a revendiqué la violation de sécurité survenue en novembre chez Blue Yonder, un fournisseur de logiciels SaaS basé en Arizona, anciennement connu sous le nom de JDA Software. Blue Yonder, qui fait partie de Panasonic, sert plus de 3 000 clients, dont des entreprises renommées comme Microsoft et Tesco. L'attaque a provoqué des pannes de service affectant des clients majeurs, tels que Starbucks, qui a dû gérer manuellement les horaires de travail de ses baristas, et des chaînes de supermarchés britanniques comme Morrisons et Sainsbury's, impactant leurs systèmes de gestion des entrepôts. Termite a déclaré avoir volé 680 Go de données, y compris des listes d'emails et des documents sensibles. Bien que Blue Yonder ait commencé à rétablir certains services et collabore avec des experts en cybersécurité, l'ampleur des dommages et la perte de données restent incertaines. Le groupe Termite, qui a émergé en octobre 2023, utilise un encryptor basé sur Babuk et semble encore en phase de développement. Cette attaque souligne les risques croissants liés aux cybercriminalités dans le secteur des technologies.
Sources :
Une nouvelle faille zero-day de Windows expose les informations d'identification NTLM et obtient un correctif non officiel
Une nouvelle vulnérabilité zero-day a été découverte dans Windows, permettant aux attaquants de capturer des identifiants NTLM en incitant la cible à visualiser un fichier malveillant dans l'Explorateur de fichiers. Cette faille, signalée par l'équipe 0patch, affecte toutes les versions de Windows, de Windows 7 à Windows 11 24H2, sans qu'un correctif officiel ne soit encore disponible. L'attaque ne nécessite pas d'interaction de l'utilisateur, car il suffit de visualiser le fichier pour que Windows établisse une connexion NTLM sortante vers un partage distant, exposant ainsi les hachages NTLM de l'utilisateur connecté. Ces hachages peuvent être déchiffrés, permettant aux attaquants d'accéder aux noms d'utilisateur et mots de passe en clair. 0patch a décidé de ne pas divulguer les détails techniques de la vulnérabilité tant que Microsoft n'aura pas publié de correctif. En attendant, 0patch propose un micropatch gratuit pour les utilisateurs enregistrés sur sa plateforme. Les utilisateurs peuvent également désactiver l'authentification NTLM via des politiques de groupe. Microsoft a déclaré qu'elle enquêtait sur cette vulnérabilité et prendra des mesures si nécessaire.
