🔍 Contexte

Le 16 avril 2025, l’équipe de recherche de Cybernews a découvert un serveur exposé appartenant à un acteur malveillant opérant le marketplace de cartes bancaires volées Jerry’s Store. L’article, publié le 1er mai 2026, détaille les mécanismes de cette fuite et les opérations du groupe.

💥 Incident

Les opérateurs de Jerry’s Store ont utilisé Cursor, un environnement de développement assisté par IA développé par la société américaine Anysphere, pour configurer leur serveur et leurs tableaux de bord administrateurs. L’IA a généré un code défaillant créant un répertoire web ouvert sans authentification, exposant ainsi l’ensemble des données.

Les données exposées comprennent :

  • Numéros de cartes bancaires
  • Dates d’expiration
  • Codes de sécurité (CVV)
  • Noms des titulaires
  • Adresses des titulaires

📊 Volume et valeur des données

  • ~200 000 enregistrements de cartes jugées « invalides »
  • ~145 000 enregistrements de cartes valides
  • Valeur estimée entre 1 M$ et 2,6 M$ (à raison de 7 à 18 $ par carte valide sur le dark web)

🛒 Méthode de vérification des cartes

Les opérateurs utilisaient des marchands légitimes pour vérifier la validité des cartes volées, en créant des centaines voire des milliers de comptes sur ces plateformes :

  • Amazon US et Amazon JP
  • Grubhub
  • Sam’s Club
  • Temu
  • Lyft
  • Elf Cosmetics
  • CountryMax

Ces petites transactions sur de grandes plateformes permettaient d’éviter la détection.

🌍 Attribution et infrastructure

  • Le marketplace est actif depuis fin 2023
  • Cible principalement des victimes aux États-Unis et dans l’UE
  • Les logs de chat et les outils internes suggèrent que l’administrateur est sinophone
  • Le serveur est hébergé en Allemagne chez un prestataire suspecté d’être un bulletproof hosting provider
  • Le groupe dispose d’un canal Telegram pour annoncer les nouvelles batches de cartes

📰 Nature de l’article

Il s’agit d’un rapport d’incident combinant investigation technique et analyse de menace, publié par Cybernews à partir de découvertes de leur équipe de recherche, visant à documenter les opérations d’un marketplace cybercriminel et les risques liés à l’utilisation d’IA dans des contextes malveillants.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Jerry’s Store (cybercriminal) —

TTP

  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1078 — Valid Accounts (Defense Evasion)

Malware / Outils

  • Cursor (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ cybernews.com — source non référencée (0pts)
  • ✅ 6668 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Jerry’s Store (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybernews.com/security/jerrys-store-vibecode-exposes-stolen-credit-cards/