Attaque de synchronisation NPM, un logiciel légitime propage des logiciels malveillants, Mango Markets piraté

by · October 13, 2022

Attaque de synchronisation NPM, un logiciel légitime propage des logiciels malveillants, Mango Markets piraté

L’attaque temporelle NPM peut affecter la chaîne d’approvisionnement

Les chercheurs en sécurité d’Aqua Security ont trouvé un moyen de savoir quels packages privés se trouvent dans un référentiel GitHub. Cela utilise la petite différence de temps en renvoyant une erreur 404 selon que le paquet est privé ou simplement absent. Le mécanisme de mise en mémoire tampon de l’API npms semble être à l’origine du décalage horaire. Celle-ci peut varier de quelques centaines de millisecondes. Cela ouvre la porte aux attaquants pour créer des clones malveillants ou des versions mal orthographiées des packages. En fin de compte, ces clones peuvent se retrouver dans les logiciels de production, puis chez les consommateurs. Aqua a contacté GitHub le 8 mars. GitHub a déclaré qu’il ne pouvait pas résoudre le problème, citant des limitations architecturales.

(Ordinateur bleui)

Logiciel légitime utilisé pour diffuser un mod WhatsApp malveillant

Les chercheurs de Kaspersky ont découvert un cheval de Troie caché dans une version modifiée de WhatsApp appelée YoWhatsApp. Cela fournit toujours une application entièrement fonctionnelle avec une interface personnalisée, mais donne au cheval de Troie un accès aux autorisations complètes de l’appareil accordées à WhatsApp. Les chercheurs découvrent que l’application modifiée s’est propagée à travers plusieurs applications non malveillantes. Cela inclut les publicités dans l’application Snaptube et téléchargées dans la boutique interne de l’application vidéo Vidmate. Le cheval de Troie peut être utilisé pour prendre le contrôle d’un compte ou inciter un utilisateur à s’abonner à des services sans le savoir.

See also  What is "bluebugging" and how to save yourself from room hacking

(Liste sécurisée)

Mango Markets touché par un piratage de 100 millions de dollars

La plateforme de trading blockchain Solana a certainement connu une escalade de ce qui s’est passé lors de l’attaque. Il a déclaré que le soir du 11 octobre, il y avait eu “un incident” avec un attaquant qui avait drainé des fonds. À midi, le 12, il a déclaré que la manipulation du marché avait permis à un attaquant de drainer environ 100 millions de dollars. Mango a déclaré que cela “entraînait effectivement une fuite totale de tous les fonds propres disponibles” et arrêtait les retraits de dépôts. L’attaquant a pris une position importante sur la blockchain, s’est échangé contre lui-même sur d’autres bourses pour gonfler les prix, puis a proposé une proposition de gouvernance Mango sur son DAO pour renoncer à toute enquête criminelle et ne pas être responsable de toute “créance irrécouvrable”. Il avait le pouvoir de marché pour voter avec 99% de votes oui.

(Fortune)

Microsoft ajoute des fonctionnalités de sécurité et de collaboration à Edge

Microsoft continue d’ajouter des fonctionnalités à son navigateur Edge basé sur Chromium, et cette fois elles ne sont pas destinées au e-commerce ! Le navigateur est livré avec une protection contre les fautes de frappe pour les URL et suggère des sites Web souvent mal orthographiés. Cela peut potentiellement éviter les fautes de frappe pendant le squat. Il existe également une nouvelle fonctionnalité d’activation qui utilisera les paramètres de contenu les plus conservateurs de votre navigateur lorsque vous êtes sur un site inconnu. Cela désactivera la compilation JavaScript juste à temps, entre autres précautions. Microsoft a également ajouté un aperçu des espaces de travail Edge, permettant aux membres de l’équipe de partager les onglets du navigateur. Cela permettra aux onglets de se mettre à jour en temps réel.

See also  Low-Code/No-Code App Dev's Inherent Security Risks

(Tech Crunch)

Merci au sponsor de l’épisode d’aujourd’hui, Noname Security

Êtes-vous sûr que vos API sont sécurisées ? Noname Security découvre toutes les API en cours d’exécution sur votre réseau et les analyse pour détecter les défauts de conception, les erreurs de configuration et les vulnérabilités. Vous pouvez même cataloguer les données sensibles et voir rapidement combien d’API ont accès aux données de carte de crédit, numéros de téléphone, SSN et autres données PII sensibles. En savoir plus sur nonamesecurity.com/posture-management

Première exception à l’interdiction des équipements à puce américains

Plus tôt ce mois-ci, le département américain du Commerce a annoncé de nouvelles interdictions d’exportation d’équipements de fabrication de puces avancés vers la Chine. Cela affectait une technologie vieille de dix ans et aurait rendu difficile la fabrication de DRAM dans le pays. Le fabricant de puces mémoire SK Hynix a confirmé avoir reçu une exemption temporaire d’un an aux nouvelles règles américaines. Cela permettra à SK Hynix d’approvisionner ses propres installations basées en Chine sans exigences de licence supplémentaires du Département américain du commerce. On s’attend à ce que les États-Unis accordent d’autres exemptions à d’autres fabricants de DRAM tels que Samsung.

(WSJ)

Google commence à déployer des mots de passe

Google a commencé à déployer la prise en charge des mots de passe pour se connecter aux sites Web et aux services. Cela sera initialement disponible sur Android pour ceux de la version bêta des services Google Play et sur les versions de Chrome Canary. Les clés de passe nécessiteront une authentification sur l’appareil à utiliser. Les utilisateurs peuvent les enregistrer dans Google Password Manager. Un lancement stable arrive “plus tard cette année”. Android prendra en charge les mots de passe des gestionnaires d’informations d’identification tiers en 2023.

See also  Uber blâme LAPSUS$ Hacking Group pour une récente faille de sécurité

(9to5Google)

Lumière sur la stratégie de la Maison Blanche sur les cyberdétails

Depuis son entrée en fonction, l’administration Biden a mis en œuvre un certain nombre d’objectifs politiques et de décrets exécutifs pour renforcer les initiatives de cybersécurité du pays. Ainsi, avec la publication de sa stratégie de sécurité nationale, il est un peu surprenant de voir une mention plutôt clairsemée du cyber dans le document. Il ne met en évidence le domaine spécifiquement que dans un court segment intitulé “Sécuriser le cyberespace”, en y faisant de brèves références en relation avec les défis présentés par la Chine et la Russie. Il note que les acteurs de la menace continuent de cibler les infrastructures critiques et que le gouvernement continue de travailler avec des alliés sur des normes pour améliorer la cyber-résilience. Parlant du document, le conseiller à la sécurité nationale Jake Sullivan a déclaré qu’il ne devrait pas le voir comme “un compte rendu détaillé de chaque défi” mais plutôt comme “un aperçu plus large” de la manière dont l’administration espère faire avancer les intérêts américains.

(L’enregistrement)

Les mots de passe faibles sont toujours un problème dans le cloud

Selon le dernier rapport Threat Horizons de Google Cloud, les mots de passe faibles ou inexistants ont été un facteur dans plus de 57 % des compromissions cloud au deuxième trimestre. Le rapport a révélé que des niveaux élevés d’activité SSH indiquent que les organisations utilisent souvent des identifiants par défaut ou aucun identifiant lors de la création d’une instance. Les autres facteurs les plus courants, les problèmes logiciels et les erreurs de configuration, représentaient un total combiné de 29,7 %. Google a observé des groupes de menaces commençant des cryptomineurs lorsqu’ils y avaient accès. Mais il note que les organisations devraient être plus préoccupées par les acteurs exploitant l’accès de manière secrète.

(Anton Chuvakine)

Related posts:

  1. 7 conseils cybersécurité à retenir lors de vos prochaines vacances, CIO News, ET CIO
  2. Tendances de la santé numérique et de la technologie aux États-Unis
  3. Comment savoir si mon téléphone a été piraté ?
  4. Les gouvernements et organisations asiatiques visés par les récentes attaques de cyberespionnage

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *