Les dernières cyberattaques – 12 août 2025

Voici le rapport de veille des actus cybersécurité les plus intéressantes de la période.

Cette synthèse hebdomadaire met en évidence une diversification des vecteurs d’attaque, allant des campagnes de steganographie à l’exploitation d’écosystèmes open source, en passant par des attaques ciblant les infrastructures critiques et financières. Les acteurs malveillants combinent sophistication technique et exploitation des chaînes d’approvisionnement logicielles pour maximiser leurs gains et échapper aux contre-mesures.

Les chercheurs de Malwarebytes ont identifié l’utilisation de fichiers SVG piégés dans des publications Facebook frauduleuses visant à propager des malwares depuis des sites pour adultes, profitant des règles de vérification d’âge pour accroître leur audience. Les images contiennent du code permettant d’exécuter des actions malveillantes à l’insu des victimes.

Soixante packages Ruby malveillants ont été téléchargés 275 000 fois depuis mars 2023, intégrant du code de vol de données d’authentification. Les cibles principales sont les comptes développeurs, exposant ainsi les projets et dépôts associés à des compromissions.

Le projet CrediX a été victime d’un exploit sur un portefeuille administrateur, permettant la création de jetons non adossés et la vidange de pools de liquidité. Les fonds volés ont été transférés entre blockchains, puis immobilisés sur quelques adresses.

Les autorités américaines ont confirmé que les groupes BlackSuit et Royal ont ciblé santé, éducation, énergie et administrations, générant plus de 370 millions de dollars en rançons. Leur infrastructure a été démantelée grâce à une opération coordonnée internationale.

Des chercheurs sud-coréens ont découvert une variante de RoKRAT exploitant la stéganographie dans des fichiers JPEG pour échapper aux antivirus, attribuée au groupe nord-coréen APT37. Le code malveillant est chiffré et dissimulé dans les données de l’image.

Une faille critique dans Gemini AI permet des attaques via invitations Google Calendar ou e-mails, qualifiées de « Targeted Promptware Attacks ». Les assaillants peuvent exfiltrer des données sensibles et contrôler des appareils connectés.

La campagne GreedyBear combine 150 extensions Firefox malveillantes et près de 500 exécutables Windows, ciblant les portefeuilles de cryptomonnaies. Les infrastructures de phishing associées ont permis de voler plus d’un million de dollars.

La société Chanel a subi une violation de données dans le cadre d’attaques ciblant Salesforce, où des acteurs malveillants ont accédé à des informations personnelles et commerciales sensibles de clients, illustrant la vulnérabilité des intégrations cloud mal sécurisées.

Une vague de 150 extensions Firefox malveillantes capables de vider les portefeuilles de cryptomonnaies a été détectée sur la boutique Mozilla, démontrant des lacunes dans la validation et la surveillance des modules proposés aux utilisateurs.

Deux packages NPM frauduleux se faisant passer pour des outils de développement WhatsApp embarquaient un code destructeur conçu pour effacer récursivement les fichiers des développeurs, compromettant potentiellement leurs projets et environnements de travail.