Credential-Harvesting

🎯 Contexte Analyse publiée le 20 juin 2026 par SafeDep sur la découverte d’un package npm malveillant @withgoogle/stitch-sdk (versions v0.1.1 et v0.1.2), conçu pour imiter le SDK officiel de Google Stitch AI (@google/stitch-sdk, 30 000+ téléchargements hebdomadaires). 🔍 Technique d’attaque : Scope Squatting L’attaquant a exploité le fait que npm ne vérifie pas les marques déposées lors de l’enregistrement de scopes. Le produit Google est accessible via stitch.withgoogle.com, mais son scope npm officiel est @google. L’attaquant a enregistré le scope @withgoogle (premier arrivé, premier servi) et publié un package avec le même nom de base que le SDK légitime, avec des numéros de version identiques (0.1.1, 0.1.2). ...

🔍 Contexte Le 19 juin 2026, Fortinet publie sur son blog PSIRT une analyse officielle d’une campagne malveillante baptisée FortiBleed, ciblant des équipements FortiGate dans le cadre d’une opération de credential harvesting. 🎯 Nature de l’activité Selon Fortinet, cette campagne repose sur deux vecteurs principaux : Réutilisation de credentials issus d’incidents antérieurs référencés FG-IR-26-060 et FG-IR-25-647 Attaques par force brute contre des appareils présentant une politique de mots de passe faible et sans authentification multi-facteurs (MFA) Fortinet précise explicitement qu’il ne s’agit pas d’une nouvelle vulnérabilité et que cette activité n’est pas liée à un incident ou advisory récent. ...

🔍 Contexte Le 23 juin 2026, SOCRadar Threat Research Unit (STRU) publie un rapport technique détaillé sur la campagne FortiBleed, une opération de collecte massive de credentials ciblant les pare-feux FortiGate à l’échelle mondiale. L’investigation a débuté suite à un post LinkedIn du chercheur Volodymyr « Bob » Diachenko signalant un répertoire exposé à l’adresse http://85.11.187.8:9999. 🎯 Acteur et motivation L’acteur est évalué comme un Initial Access Broker (IAB) à motivation financière, avec une origine russe probable (commentaires en cyrillique dans les outils). La compromission d’un contractant de défense aligné OTAN soulève également l’hypothèse d’une collaboration avec des groupes étatiques russes. La campagne est active depuis au moins février 2026. ...

🔍 Contexte Le 20 juin 2026, la société ZenoX publie une analyse technique approfondie de la campagne FortiBleed, après avoir reçu le 19 juin 2026 l’accès à un répertoire de travail laissé exposé sur internet par les opérateurs eux-mêmes. Ce répertoire contenait environ 318 fichiers constituant l’intégralité de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opérationnels et données volées. 🎯 Périmètre de la campagne La campagne FortiBleed est une opération de vol de credentials à l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clés : ...

🔍 Contexte Publié le 18 juin 2026 par Group-IB, cet article présente les résultats d’une investigation sur une campagne de phishing baptisée GitBait, ciblant au moins 12 institutions financières opérant au Mexique, active depuis environ trois ans. 🎯 Description de la campagne La campagne repose sur une architecture entièrement serverless combinant : GitHub Pages comme plateforme d’hébergement des pages de phishing L’API SheetBest pour l’exfiltration des credentials vers des Google Sheets contrôlées par les attaquants Un bot Telegram comme méthode d’exfiltration alternative pour certaines cibles Les pages de phishing imitent visuellement les portails de banque en ligne légitimes et collectent : noms d’utilisateur, identifiants clients, mots de passe et données de cartes de paiement via un flux multi-étapes. ...

🔍 Contexte Analyse publiée le 5 juin 2026 par StepSecurity (Ashish Kurmi). L’article documente une attaque de type supply chain ciblant les organisations GitHub de Microsoft, dans le cadre de la campagne Miasma Worm. 🎯 Incident du 5 juin 2026 Un commit malveillant (hash 5f456b8) a été poussé dans le dépôt Azure/durabletask via un compte contributeur préalablement compromis. Ce même compte avait déjà été utilisé lors de l’attaque PyPI du 19 mai 2026. Le commit présentait plusieurs signaux d’alerte : ...

📰 Source : BleepingComputer — Date de publication : 5 juin 2026 Contexte En 2024, le domaine polyfill[.]io — un CDN JavaScript destiné à assurer la compatibilité des sites web avec les navigateurs anciens — avait été racheté par une entité chinoise non identifiée qui y avait injecté du code malveillant, impactant plus de 100 000 sites web. Le créateur du projet open source, Andrew Betts, avait alors recommandé de retirer le service et migré vers de nouveaux domaines (polyfill.com, puis polyfill.top). ...

🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak. Contexte L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent. ...

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publié une analyse technique détaillée d’une campagne de compromission de la chaîne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classé comme une publication de recherche avec analyse technique approfondie. 🦠 Nature de l’attaque La campagne, qualifiée de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilité publique des outils. Au total, 95 versions de packages ont été publiées le 1er juin 2026 entre 10h54 et 14h25 UTC, détectées par Socket entre 11h00 et 15h21 UTC. ...

🌍 Contexte Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase) 32 adresses IP backend réparties sur 6 régions géographiques Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entités ciblés Pays Organisation ciblée URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (Ministère de l’Intérieur) 10 Slovénie E-uprava (gouvernement) 9 France DAO/ASF (péages) 3 Géorgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...