Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.

Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets ( Source )

D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.

C'est là qu'intervient safe-npm , une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.

Et hop, un souci en moins !

La supply chain npm, le nouveau terrain de jeu préféré des attaquants ( Source )

Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.

Pour l'installer, c'est du classique :

npm install -g @dendronhq/safe-npm

Des chercheurs en cybersécurité ont remonté la piste d'une nouvelle plateforme malveillante visant les environnements Linux. Baptisée VoidLink, cette boîte à outils sophistiquée est pensée pour infiltrer durablement des environnements cloud et s'adapter en fonction de l'infrastructure ciblée.

Des chercheurs en cybersécurité ont remonté la piste d'une nouvelle plateforme malveillante visant les environnements Linux. Baptisée VoidLink, cette boîte à outils sophistiquée est pensée pour infiltrer durablement des environnements cloud et s'adapter en fonction de l'infrastructure ciblée.

Dans un article de blog publié le 5 janvier 2026, les chercheurs de l’entreprise de cybersécurité Securonix mettent en lumière une nouvelle campagne cybercriminelle visant en particulier les établissements hôteliers européens.​ Baptisée PHALT#BLYX, cette opération dissimule son piège derrière un faux écran bleu de la mort de Windows.

MacOS a été pris pour cible par une nouvelle variante du logiciel malveillant MacSync capable de contourner Gatekeeper, grâce à une application Swift signée.

Le post MacOS : cette nouvelle version du malware MacSync contourne la sécurité de Gatekeeper a été publié sur IT-Connect.

Deux extensions malveillantes ont été découvertes sur la Marketplace de Visual Studio Code, dissimulant un infostealer capable de dérober des données sensibles.

Le post Visual Studio Code : ces 2 extensions malveillantes volent vos données avec un malware infostealer a été publié sur IT-Connect.

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Dans une étude parue le 20 novembre 2025, les chercheurs de Threat Fabric mettent en lumière les capacités d'espionnage exceptionnelles d'un nouveau malware prêt à être déployé sur les téléphones Android. Son nom ? Sturnus.

Depuis plusieurs mois, une vaste campagne de phishing particulièrement vicieuse piège les clients d'hôtels à travers le monde. La force de cette opération ? Les assaillants connaissent l'établissement, les dates et même le prix exact de la réservation. Voici comment une telle arnaque a pu être mise en place.

Du 10 au 13 novembre 2025, Europol a mené la dernière phase de l'opération Endgame. Les cibles de cet ultime coup de filet ? Le logiciel espion Rhadamanthys, le botnet Elysium et le cheval de Troie VenomRAT. Ce démantèlement est le fruit d'une collaboration entre 11 pays.

C'est une attaque informatique qui progresse : appelée ClickFix, elle cherche à pousser la victime inattentive à commettre une faute, en pensant exécuter une série d'actions inoffensives.

Des centaines d’applications Android malveillantes ont été téléchargées plus de 40 millions de fois sur Google Play entre juin 2024 et mai 2025, alerte ZScaler.

The post 239 applications Android malveillantes cumulent plus de 40 millions de téléchargements ! first appeared on IT-Connect.

PROMPTFLUX est malware codé en VBScript qui a une particularité : il se connecte à l'API de Google Gemini pour réécrire son code automatiquement.

The post PROMPTFLUX : ce malware utilise l’IA de Google pour réécrire son code toutes les heures ! first appeared on IT-Connect.

Dans un article publié le 5 novembre 2025, Google Threat Intelligence dévoile ses dernières analyses sur les menaces cyber. Le rapport met en avant un nouveau type de malwares exploitant les IA génératives pour renforcer leurs attaques. Parmi eux, PROMPTFLUX, un logiciel capable de réécrire son code source chaque heure pour échapper à la détection.

Le 3 novembre 2025, l’unité d’enquête cybernétique de la police de Gyeonggi Nambu, en Corée du Sud, a annoncé l’arrestation de cinq individus soupçonnés d’avoir mené une opération d’extorsion en ligne visant une soixantaine de victimes. Le point de départ de l'affaire ? Une fausse application de gestion de clientèle destinée aux salons de massage.

Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L'outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d'argent en ligne sont interdits.