decio

Une découverte exclusive émanant de JFrog Security Research concernant une importante attaque de chaîne d’approvisionnement logicielle provenant de packages npm déclenche une alerte. Avec 181 nouveaux packages compromis identifiés par JFrog à ce jour, le risque est généralisé. Une remédiation immédiate exige la rotation de tous les jetons d’environnement compromis.

Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques ClickFix basée sur des pages Web imitant l'installation d'une mise à jour Windows, tout en dissimulant le malware dans une image au format PNG. Faisons le point sur les dernières tendances de cette fraude au copier-coller.

Une mère célibataire du canton de Zoug, a été victime d'une arnaque via Twint impliquant une fausse quittance postale. En scannant un code QR truqué, elle a perdu 3000 francs. Elle souhaite désormais alerter le public sur cette fraude des plus sournoises.

L'agence américaine de cybersécurité (CISA) vient de publier une alerte à destination des utilisateurs d'applications de messagerie populaires. Plusieurs campagnes de spywares exploitent actuellement des failles dans Signal, WhatsApp ou encore Telegram pour compromettre les appareils de personnalités ciblées.

• L’infection inclut au moins 10 grands forfaits crypto liés à l’écosystème ENS.
• Une précédente attaque NPM début septembre avait entraîné 50 millions de dollars de cryptomonnaies volées.
• Les chercheurs ont trouvé plus de 25 000 dépôts affectés au cours de l’étude.

Une nouvelle vague d’infections NPM a suscité des inquiétudes au sein de la communauté JavaScript, alors que le malware Shai Hulud continue de se propager dans des centaines de bibliothèques logicielles.

Des utilisateurs anonymes ont collecté les messages de Mina sur une plateforme de vente d'objets d'occasion, ont créé de faux profils et ont échangé des informations à son sujet dans des forums. Son cas montre à quel point il est facile de détourner des images privées - pendant des années.

Lancé l’été dernier, le «Réseau SDS», créé par la Confédération, la Ville de Zurich, la Poste et la Haute école spécialisée bernoise, poursuit son expansion. Plus de 100 organisations, dont de nombreuses autorités, y ont aujourd'hui adhéré.

La FINMA observe une hausse nette des vulnérabilités technologiques dans la finance suisse. La dépendance accrue aux prestataires externes et aux services cloud fait désormais peser un risque majeur sur la stabilité du secteur.

Google tire la sonnette d’alarme au sujet d’une grande fuite de données. Plus de 200 entreprises ont en effet vu leurs informations siphonnées durant une attaque ciblant des applications tierces connectées à Salesforce. L’opération, orchestrée par le gang ShinyHunters, vise à extorquer de l’argent aux victimes.

La semaine dernière, Salesforce révélait avoir été victime d’une fuite de données. L’entreprise américaine, spécialisée dans le développement de logiciels de gestion de la relation client, indiquait que les informations de « certains clients » ont été compromises. Pour s’emparer des données, les attaquants sont passés par « des applications publiées par Gainsight et connectées à Salesforce, qui sont installées et gérées directement par les clients ».

Cette procédure volontaire doit permettre aux organisations concernées d’avancer sur cette nouvelle réglementation toujours à l’examen au Parlement.

Le contrat prévoit la construction d'un cloud privé basé sur Google Distributed Cloud. L'environnement est destiné au Jatec, une agence créée dans le cadre du conflit Ukrainien.

Vous recrutez sur LinkedIn. Vous prospectez des clients. Vous échangez avec des partenaires. Les pirates le savent et ont adapté leurs techniques. Check Point Research recense LinkedIn comme la quatrième marque la plus imitée en Q4 2024, avec 5% des attaques de phishing mondiales. Les faux profils se multiplient. Les messages semblent authentiques. Un recruteur qui vous contacte peut être un piège.

LinkedIn a bloqué ou supprimé 121 millions de faux comptes en 2023, soit 2,5 fois la base d'utilisateurs de la plateforme dans l'Union européenne. En 2024, ce chiffre a bondi à 156 millions de comptes factices détectés, une hausse de 29 % en un an. Le FBI a enregistré 193 407 plaintes pour phishing en 2024, causant plus de 70 milliards de dollars de pertes aux États-Unis.

Les attaques basées sur l'ingénierie sociale ont progressé de 141 % dans les six derniers mois de 2024. Concrètement, vous utilisez LinkedIn pour développer votre activité. Les attaquants aussi.