Credential-Harvesting

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

🔍 Contexte Publié le 7 mai 2026 par l’équipe SOCRadar Threat Research, ce rapport constitue la première documentation publique d’Operation HookedWing, une campagne de phishing active depuis 2022 et non attribuée à ce jour à un acteur connu. 🎯 Ciblage et victimologie La campagne a compromis plus de 2 500 victimes uniques réparties dans plus de 500 organisations à travers le monde. Les secteurs les plus touchés sont : Aviation / Voyage (~28%) Gouvernement / Administration publique (~16%) Énergie / Pétrole (~12%) Logistique / Transport (~10%) Finance / Banque (~8%) Géographiquement, les victimes se concentrent en Afrique subsaharienne et Asie du Sud (Nigeria, Népal, Ouganda, Sri Lanka, Sénégal). Le ciblage suit les corridors aériens stratégiques reliant l’Afrique, le Golfe Persique, l’Asie du Sud et l’Asie du Sud-Est. ...

🔍 Contexte Le 13 mai 2026, Datadog Security Labs publie une analyse statique approfondie du code source du framework offensif Shai-Hulud, attribué au groupe TeamPCP. Ce code a brièvement été disponible sur GitHub avant d’être retiré par la plateforme, mais plusieurs forks ont permis à Datadog d’en obtenir une copie complète. 🎯 Attribution et contexte de la campagne Tout au long du début 2026, TeamPCP a mené une série d’attaques supply chain escaladantes sur les écosystèmes npm et PyPI : hijacking de tags Trivy/Checkmarx KICS, empoisonnement de LiteLLM sur PyPI, compromission des packages TanStack et UiPath sur npm. Le dépôt publié contient le message “Love - TeamPCP” et “Change keys and C as needed”, avec tous les commits datés au 2099-01-01 et signés TeamPCP_OSS <TeamPCP>. ...

🔍 Contexte Le 5 mai 2026, Panther Threat Research publie une analyse détaillée d’une campagne de supply chain attack coordonnée, identifiée fin avril 2026 sur le registre NPM. La campagne a été attribuée avec haute confiance à un acteur indonésien opérant sous l’alias “frank”. 🎯 Campagne et ciblage La campagne comprend 38 paquets NPM malveillants publiés entre le 2026-04-24 et le 2026-04-30 via quatre comptes NPM rotatifs : frengki0707 (getkontakfrank@gmail.com) — 11 paquets raya4321 (npmtpoc@gmail.com) — 12 paquets cketol (ipelapple@gmail.com) — 10 paquets frengki4321 (newtontrid@gmail.com) — 5 paquets Les cibles principales sont les développeurs et infrastructures CI/CD de Apple, Google/GCP, Alibaba/Aliyun, et un groupe générique multi-cibles incluant des environnements Microsoft 365/Azure. ...

🔍 Contexte Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD. 🛠️ Description technique de PamDOORa PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent : ...

🔍 Contexte Publié le 29 avril 2026 par Varonis Threat Labs (source : varonis.com/blog/bluekit), cet article présente une analyse technique approfondie de Bluekit, un nouveau kit de phishing commercial découvert et examiné de l’intérieur par les chercheurs de Varonis. 🧰 Description de Bluekit Bluekit se distingue des kits de phishing traditionnels par son modèle tout-en-un regroupant dans un seul panneau opérateur : 40+ templates de sites couvrant messagerie (iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail), développeurs (GitHub), réseaux sociaux (Twitter), retail (Zara), crypto (Ledger), cloud (Zoho) Achat et enregistrement automatisé de domaines Support 2FA, spoofing, émulation de géolocalisation Notifications Telegram et navigateur Antibot et cloaking anti-analyse Add-ons : assistant IA, clonage vocal, mail sender 🖥️ Fonctionnalités du panneau opérateur Les chercheurs ont obtenu un accès direct au kit et ont documenté : ...

🔍 Contexte Publié le 4 mai 2026 par les chercheurs Aliakbar Zahravi et Ahmed Mohamed Ibrahim de Trend Micro, cet article présente l’analyse technique complète de Quasar Linux (QLNX), un implant Linux précédemment non documenté découvert via une approche de threat hunting assistée par IA. Le malware présente un taux de détection très faible et cible spécifiquement les environnements de développement logiciel. 🎯 Cibles et objectifs QLNX est conçu pour compromettre les développeurs et équipes DevOps afin d’infiltrer la chaîne d’approvisionnement logicielle. Son module de credential harvesting cible explicitement : ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🔍 Contexte Rapport publié le 22 avril 2026 par The DFIR Report, basé sur l’analyse d’un serveur exposé appartenant à un opérateur malveillant. Le serveur contenait plus de 13 000 fichiers répartis dans 150+ répertoires liés à l’exploitation, la collecte de credentials et la gestion de workflow. 🎯 Nature de l’opération L’opération repose sur la plateforme modulaire Bissa Scanner, un outil d’exploitation à grande échelle intégrant des capacités d’IA (Claude Code et OpenClaw) pour l’orchestration, le dépannage et le raffinement du pipeline de collecte. L’opérateur est identifié via Telegram sous le pseudonyme @BonJoviGoesHard (display name “Dr. Tube”, user ID 1609309278). ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...