Analyse De Menace

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...

Selon Socket (Threat Research Team), cinq extensions Chrome malveillantes, atteignant plus de 2 300 utilisateurs, ciblent des plateformes RH/ERP (Workday, NetSuite, SAP SuccessFactors) afin de voler des jetons d’authentification, bloquer l’accès aux pages de sécurité et permettre le détournement de sessions. Les extensions sont publiées sous les identités « databycloud1104 » et « softwareaccess » et restent en cours d’investigation, avec des demandes de retrait soumises au Chrome Web Store. ...

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. • Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026. ...

Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc Aspects techniques clés 🔧 ...

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion. Résumé opérationnel: Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint. Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité. Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents. Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics. Détections et réponses Microsoft Defender XDR: ...

Team Cymru publie une analyse approfondie des attaques de Scattered Spider, couvrant 2024-2025, afin d’aider les défenseurs à détecter et perturber plus tôt leurs opérations. • Contexte et impact: Scattered Spider, groupe cybercriminel anglophone lié à la communauté « TheCom », a été pointé par le FBI (Sleuthcon 2024) pour de multiples intrusions à fort impact. Des incidents notables incluent MGM Resorts (ALPHV/BlackCat) avec un coût de 100 M$, Marks & Spencer (DragonForce) avec une perte estimée de £300 M, ainsi que des attaques contre Co-op et Harrods en 2025 attribuées par les experts de Google. Le groupe est suivi sous divers alias (UNC3944, 0ktapus, Octo Tempest, Scatter Swine, Muddled Libra). ...

Source et contexte: Censys publie une recherche approfondie sur l’écosystème « Fake Captcha » et la tendance « Living Off the Web », basée sur un corpus de 9 494 actifs web et une méthodologie de rendu/screenshot et de pHash pour regrouper les leurres visuels. • Paysage visuel et méthodologie. Les pages imitant des vérifications (souvent de style Cloudflare) sont regroupées par perceptual hashing sur des captures d’écran (seuil de distance de Hamming = 6). Le « Cluster visuel 0 » regroupe 6 686/9 494 endpoints (~70%). Malgré une forte uniformité visuelle (favicons du site hôte inclus, parfois déformés), Censys souligne que la similarité visuelle n’implique ni infrastructure partagée, ni mêmes charges utiles, ni mêmes opérateurs. 19,90% des actifs n’ont pu être confirmés visuellement (erreurs, fingerprinting du headless, contenu conditionnel). ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...