Apple corrige deux failles zero‑day exploitées dans des attaques « sophistiquées »

Apple publie en urgence des correctifs pour deux vulnérabilités zero‑day activement exploitées, permettant l’exécution de code à distance et le contournement de protections sur macOS et iOS. Les attaques, qualifiées de « sophistiquées », visent clairement des cibles de valeur élevée, ce qui rend la mise à jour immédiate des appareils critique.
[Article Original] 

React2Shell : les exploits inondent Internet, les attaques se généralisent

La vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components et Next.js est désormais massivement exploitée par de multiples groupes, allant des cybercriminels aux acteurs étatiques. Des webshells, backdoors (MINOCAT, SNOWLIGHT, HISONIC, COMPOOD) et mineurs XMRig sont déployés à grande échelle, forçant les éditeurs et les infrastructures cloud à déclencher des mesures d’urgence.
[Article Original]

Plusieurs acteurs malveillants exploitent React2Shell (CVE-2025-55182)

Google Threat Intelligence détaille des campagnes coordonnées exploitant React2Shell pour compromettre des serveurs React/Next.js dans le monde entier. Les attaques incluent tunneling, persistance par cron/systemd, usage de services cloud légitimes pour le C2 et déploiement de mineurs, illustrant la gravité de la faille et l’urgence de patcher.
[Article Original]

Nouvelles failles React RSC : déni de service et exposition de code source

En plus de React2Shell, d’autres vulnérabilités dans React Server Components permettent d’exposer du code source et de provoquer des dénis de service. Même si leur impact est moindre qu’un RCE, elles accroissent la surface d’attaque des applications React et nécessitent une mise à jour vers les versions corrigées (notamment 19.2.2 et 19.2.3).
[Article Original]

Réact2Shell : escalade vers des attaques globales à grande échelle

Un autre rapport met en évidence la montée en puissance des attaques React2Shell, avec des scans massifs d’Internet, des exploitations automatisées et l’intégration rapide des exploits dans des kits d’attaque. De nombreuses organisations sont prises de court par la vitesse de l’exploitation et la difficulté à inventorier et corriger tous les services vulnérables.
[Article Original]

Faux outils OSINT et GPT sur GitHub diffusent le malware PyStoreRAT

Des dépôts GitHub se faisant passer pour des utilitaires OSINT ou des outils liés à GPT hébergent en réalité le cheval de Troie d’accès à distance PyStoreRAT. Les attaquants exploitent la confiance dans GitHub et l’engouement pour l’IA pour pousser les analystes, développeurs et curieux à télécharger volontairement des outils piégés.
[Article Original]

Campagnes AMOS : pubs Google et conversations IA empoisonnées contre les utilisateurs macOS

Des chercheurs montrent que des résultats sponsorisés Google redirigent des utilisateurs macOS vers des conversations partagées de ChatGPT ou Grok, fournissant de fausses instructions techniques. En suivant ces commandes Terminal (type `curl … | bash`), les victimes installent à leur insu le voleur d’informations AMOS, capable de voler mots de passe, portefeuilles crypto et données sensibles.
[Article Original]

Nouveaux kits de phishing avancés : IA et contournement du MFA à grande échelle

De nouveaux kits de phishing utilisent l’IA pour générer des pages et contenus extrêmement crédibles, tout en intégrant des mécanismes de relais pour contourner l’authentification multifacteur. Ces outils industrialisent le « phishing‑as‑a‑service », permettant à des attaquants peu techniques de voler des identifiants et tokens de session à grande échelle, même lorsque le MFA est activé.
[Article Original]

DroidLock : un ransomware Android qui verrouille totalement le téléphone

Une nouvelle campagne Android, baptisée DroidLock, utilise des applications malveillantes distribuées via des sites de phishing (fausses apps d’opérateurs télécoms, etc.) pour prendre le contrôle complet du smartphone. Le malware abuse des permissions d’accessibilité et Device Admin pour modifier le code PIN, intercepter les SMS/OTP, afficher de fausses fenêtres de mise à jour et exiger une rançon sous peine d’effacer l’appareil.
[Article Original]

Faille zero‑day Windows RasMan : correctifs non officiels disponibles

Une vulnérabilité zero‑day affectant le service RasMan de Windows permet l’exécution de code à distance sur certaines configurations, avant tout correctif officiel Microsoft. Des patchs non officiels gratuits sont publiés pour combler temporairement la faille, mais ils exigent une évaluation de risque car ils ne bénéficient pas du même niveau de validation que les mises à jour Microsoft.
[Article Original]

CISA impose le correctif d’une faille GeoServer activement exploitée

La CISA ajoute une vulnérabilité XXE GeoServer à son catalogue de failles exploitées et ordonne aux agences fédérales de la corriger en priorité. Les attaques permettent potentiellement l’exfiltration de fichiers sensibles côté serveur et, dans certains cas, un pivot vers d’autres systèmes internes.
[Article Original]

Extensions malveillantes sur la place de marché VSCode

Des extensions Visual Studio Code piégées ont été découvertes, dissimulant un cheval de Troie dans un faux fichier PNG intégré. Ces extensions peuvent exfiltrer des secrets de projets, modifier du code et préparer des attaques supply‑chain, rappelant que la place de marché des IDE est une surface d’attaque à part entière.
[Article Original]

Torrent piégé : un faux film cache un malware dans les sous‑titres

Un faux torrent du film « One Battle After Another » contient des sous‑titres malveillants qui exploitent des failles de lecteurs multimédia pour exécuter du code lors du simple visionnage. Cette campagne montre que même les fichiers apparemment « inoffensifs » comme les sous‑titres peuvent devenir des vecteurs d’infection.
[Article Original]

MITRE publie le Top 25 des faiblesses logicielles les plus dangereuses en 2025

MITRE met à jour sa liste des 25 faiblesses les plus critiques, utilisées activement dans les attaques réelles (injections, dépassements de mémoire, erreurs d’authentification, etc.). Cette liste sert de feuille de route pour les équipes de développement et AppSec afin de prioriser les corrections et les contrôles de qualité.
[Article Original]

Exploitation d’une faille zero‑day Gogs depuis plusieurs mois

Des acteurs menaçants ont exploité pendant des mois une vulnérabilité zero‑day dans Gogs (plateforme Git auto‑hébergée) avant sa divulgation et son correctif. L’accès au dépôt de code source et aux secrets CI/CD a potentiellement ouvert la voie à des attaques supply‑chain contre les projets hébergés.
[Article Original]

Failes cryptographiques dans Gladinet CentreStack exploitées pour du RCE

Une faiblesse dans la mise en œuvre cryptographique de Gladinet CentreStack permet l’exécution de code à distance sur les serveurs exposés. Des attaquants exploitent déjà la faille pour prendre le contrôle d’instances, renforçant l’importance de durcir et d’auditer les services de partage de fichiers.
[Article Original]

Principales Menaces Cybersécurité de la Semaine

1. Exploitation massive de React2Shell (CVE-2025-55182) et failles associées dans React/Next.js

• Pourquoi c’est critique : RCE non authentifiée via une simple requête HTTP, impactant potentiellement des milliers d’applications web modernes. Plusieurs groupes (espionnage et cybercrime) l’exploitent déjà pour déployer backdoors, tunnels et mineurs.
• Concrètement pour les organisations : besoin immédiat de recenser tous les services utilisant React Server Components/Next.js, patcher vers les versions corrigées, déployer des règles WAF de mitigation, et chasser les signes de compromission (création de répertoires cachés, services système suspects, connexions sortantes anormales).

1. Chaîne d’attaque « IA + publicité/SEO » visant les utilisateurs (AMOS, faux chats IA, GitHub piégé)

• Pourquoi c’est critique : les attaquants exploitent la confiance dans les assistants IA, GitHub et Google Ads pour transformer les réponses IA ou les dépôts open‑source en guides d’infection extrêmement crédibles.
• Concrètement : les commandes `curl … | bash`, scripts « d’installation » ou « de nettoyage » proposés par des conversations IA partagées ou des dépôts peu connus doivent être considérés comme suspects par défaut. Les entreprises doivent sensibiliser leurs équipes techniques, renforcer les politiques d’exécution de scripts et utiliser des protections web/endpoint capables de bloquer les infostealers (AMOS, PyStoreRAT, etc.).

1. Industrialisation de l’hameçonnage avancé (phishing kits IA + contournement MFA + mobile ransomware)

• Pourquoi c’est critique : la combinaison de kits de phishing dopés à l’IA, de mécanismes de relais MFA et de malwares mobiles comme DroidLock réduit fortement l’efficacité des mesures classiques (MFA, vigilance utilisateur moyenne).
• Concrètement : il devient indispensable de compléter le MFA par des protections côté serveur (détection d’impossible travel, analyse de session, FIDO2/passkeys), des solutions anti‑phishing avancées, et des politiques « mobile‑first security » (MDM, durcissement Android/iOS, détection de malwares mobiles) pour limiter la compromission d’identités et de terminaux.

Conseil de la semaine

Verrouillez votre chaîne d’outils et vos scripts avant qu’un attaquant ne le fasse pour vous. Cette semaine montre à quel point les attaques passent par vos outils de travail quotidiens : frameworks web (React/Next.js), scripts partagés, conversations IA, extensions VSCode et dépôts GitHub. Actions concrètes à mettre en place dès maintenant :

1. Inventoriez et patchez vos services React/Next.js (versions RSC vulnérables vers au moins 19.0.1/19.1.2/19.2.1, idéalement 19.2.3).
2. Interdisez en production l’exécution de commandes copiées depuis le web/IA sans revue (bloquez `curl | bash`, `Invoke-WebRequest | iex`, etc. via politiques et durcissement).
3. Mettez en place une revue de sécurité des extensions et outils développeurs (VSCode, GitHub Actions, scripts internes) et limitez les extensions à une liste approuvée.
4. Renforcez la sensibilisation : « si une IA ou un dépôt inconnu vous donne des commandes magiques, traitez‑les comme du code potentiellement hostile ».

« En sécurité, la confiance n’est pas un sentiment, c’est un budget de preuves. »