International

Selon Abnormal Intelligence (abnormal.ai), un groupe nommé Jinkusu commercialise “Starkiller”, un framework de phishing opéré comme un SaaS qui proxifie en temps réel les pages de connexion légitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cœur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL réelle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisé par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour déployer des campagnes en collant simplement l’URL de la marque. ...

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées. L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes. ...

Selon Have I Been Pwned (HIBP), en février 2026, la place de marché automobile CarGurus a été victime d’une fuite de données attribuée au groupe ShinyHunters. 🕵️ Contexte de l’incident: une tentative d’extorsion a précédé la publication publique des données volées. Les informations ont été diffusées après l’échec de cette tentative. 📊 Impact: plus de 12 millions d’adresses email ont été exposées, réparties dans plusieurs fichiers comprenant notamment: Correspondances d’ID de comptes utilisateurs (user account ID mappings) Données de demandes de pré-qualification financière (finance pre-qualification application data) Informations sur les comptes et abonnements des concessionnaires (dealer account and subscription information) 🔐 Données personnelles compromises: noms, numéros de téléphone, adresses postales, adresses IP, ainsi que les résultats des demandes de financement automobile. ...

Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...

Source: billet de blog de Filippo Valsorda (filippo.io), publié le 20 février 2026. Contexte: retour d’expérience sur la gestion des vulnérabilités et des mises à jour de dépendances dans l’écosystème Go, avec un cas concret lié à un correctif cryptographique. — • L’auteur affirme que Dependabot génère une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilité » alarmiste), en particulier pour Go. Exemple à l’appui: après un correctif de sécurité publié pour filippo.io/edwards25519 (méthode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dépôts non affectés, y compris un faux avertissement pour le dépôt Wycheproof qui n’importait que le sous-paquet non concerné (filippo.io/edwards25519/field). ...

Source: Jamf Threat Labs (19 février 2026). Contexte: publication d’une analyse technique d’un échantillon iOS de Predator (Intellexa/Cytrox) décrivant des mécanismes post‑compromis pour neutraliser les indicateurs d’enregistrement; il ne s’agit pas d’une nouvelle vulnérabilité ni d’un correctif, mais d’un éclairage destiné aux défenseurs. Jamf explique que depuis iOS 14, les pastilles vertes/oranges signalent l’usage de la caméra/micro. Contrairement à la technique « NoReboot » (2022) qui simulait une extinction complète, Predator garde l’iPhone pleinement opérationnel et supprime sélectivement les indicateurs d’enregistrement 🔴🟢, rendant la surveillance plus discrète. ...

Source : LeMagIT. Dans un article publié le 18 février 2026, LeMagIT relaie le rapport du groupe Insikt (Recorded Future), présenté à la Conférence sur la sécurité de Munich, qui décrit un paysage cyber mondialisé fragmenté en 2025 et des dynamiques appelées à s’intensifier en 2026. Le rapport lie la fragmentation géopolitique (tensions transatlantiques, ambiguïtés juridiques des actions américaines, ex. Caraïbes/Venezuela, et même l’hypothèse d’une prise de contrôle du Groenland) à un affaiblissement des cadres de sécurité et à des restrictions de partage de renseignement (jusqu’au Royaume-Uni). Les pressions des forces de l’ordre ont certes abouti à des démantèlements d’infrastructures criminelles, mais ont poussé l’écosystème à devenir plus décentralisé, modulaire et résilient 🧩. ...

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée. ...

Selon TechCrunch, dans le contexte de la communauté du hacking et des événements de cybersécurité, la conférence DEF CON a décidé de bannir plusieurs personnalités liées au milieu technologique. Décision : La conférence de hacking DEF CON a prononcé un bannissement à l’encontre de trois personnes, leur interdisant d’assister à la conférence annuelle. 🚫 Personnes concernées : Pablos Holman et Vincenzo Iozzo (hackers), ainsi que Joichi Ito (ancien directeur du MIT Media Lab). ...