Credential-Harvesting

🌐 Contexte L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour. 🎯 Cibles Les packages usurpent des noms associés à : Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc. Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc. Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc. 🔧 Mécanisme d’attaque La chaîne d’infection repose sur trois étapes : ...

🔍 Contexte Publié le 10 avril 2026 par Flashpoint, cet article de threat intelligence présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS), réalisée en collaboration avec des institutions financières partenaires. Il décrit la transformation du phishing d’une tactique isolée en un modèle économique cybercriminel industrialisé. 🏗️ Structure de l’écosystème PhaaS Le PhaaS moderne fonctionne comme une plateforme SaaS légitime : Abonnements à partir de 10 USD pour des kits basiques Templates préconçus pour usurper des marques connues Mécanismes de livraison intégrés : email, SMS, QR phishing Dashboards en temps réel pour le suivi des campagnes et la collecte de credentials Le pipeline d’attaque implique des acteurs spécialisés : développeurs de kits, fournisseurs d’infrastructure, services de livraison SMS, et acteurs de monétisation. ...

🔍 Contexte Publié le 7 avril 2026 par Cisco Talos (Diana Brown), cet article documente une augmentation d’activité malveillante exploitant les pipelines de notification de plateformes SaaS populaires (GitHub et Atlassian Jira) pour distribuer des emails de spam et de phishing à grande échelle. ⚙️ Technique : Platform-as-a-Proxy (PaaP) Les attaquants exploitent une technique nommée Platform-as-a-Proxy (PaaP) : en abusant des fonctionnalités natives de notification des plateformes SaaS, les emails malveillants sont émis depuis l’infrastructure légitime des fournisseurs, satisfaisant automatiquement les contrôles SPF, DKIM et DMARC. Cela neutralise les principaux mécanismes de filtrage email basés sur la réputation. ...

🔍 Contexte Publié le 2 avril 2026 par Cisco Talos, cet article détaille une campagne de collecte automatisée de credentials à grande échelle attribuée au cluster de menace UAT-10608. L’analyse repose sur des données collectées à des fins de recherche, incluant l’accès à une instance NEXUS Listener non authentifiée. 🎯 Vecteur d’accès initial UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js côté serveur. ...

Contexte: Selon Akamai, cité dans un article de presse publié le 19 mars 2026, l’activité cybercriminelle a fortement augmenté depuis le début du conflit lié à l’Iran. Le rapport fait état d’une hausse de 245% d’activités malveillantes, couvrant notamment le credential harvesting et la reconnaissance automatisée. Ces actions visent des banques et d’autres entreprises critiques. L’article souligne que des hacktivistes utilisent des services proxy basés en Russie et en Chine pour mener des « billions of designed-for-abuse connection attempts » 🔥, illustrant une industrialisation des connexions abusives. ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Source: SecurityAffairs, relayant un rapport de l’Insikt Group (Recorded Future). Entre février et septembre 2025, le groupe lié au GRU russe APT28/BlueDelta a élargi ses opérations de vol d’identifiants en ciblant des personnels d’agences énergie/nucléaire en Turquie, des think tanks européens, ainsi que des organisations en Macédoine du Nord et en Ouzbékistan. Les campagnes reposaient sur des fausses pages de connexion imitant Microsoft Outlook Web Access (OWA), Google et Sophos VPN, avec redirection vers les sites légitimes après la capture des identifiants pour réduire la détection. Les attaquants ont privilégié des infrastructures à bas coût et jetables (hébergement gratuit, services de tunneling) et des leurres PDF légitimes (publications du Gulf Research Center et de l’EcoClimate Foundation/ECCO) pour renforcer la crédibilité et contourner les contrôles e-mail. ...

Selon malasada.tech, une campagne de phishing à grande échelle, attribuée avec probabilité à PoisonSeed, cible des chercheurs d’emploi via des domaines à thème YouTube et des redirections hébergées sur l’infrastructure Salesforce afin de collecter des identifiants. Le flux d’attaque 🎣 s’appuie sur des liens de suivi Salesforce (cl.s12.exct[.]net) menant à des pages d’atterrissage hébergées chez Cloudflare, avec des domaines enregistrés via NICENIC. Les victimes sont d’abord confrontées à de fausses pages d’erreur nginx (anti-analyse) nécessitant une interaction humaine, avant d’être redirigées vers de faux formulaires de prise de rendez-vous, puis vers des pages de vol d’identifiants. ...

Source: Praetorian — Dans une publication de recherche, l’éditeur détaille comment des scanners de vulnérabilités configurés avec des identifiants privilégiés et une authentification par mot de passe deviennent des vecteurs d’attaque pour le vol d’identifiants et le mouvement latéral, surtout dans des environnements Linux. L’étude met en évidence le risque des scans authentifiés utilisant SSH par mot de passe et des protocoles obsolètes comme NTLMv1. Des attaquants déjà présents sur les hôtes cibles peuvent intercepter les identifiants du scanner via la manipulation du démon SSH, l’instrumentation de processus et l’injection dans la chaîne d’authentification PAM, puis réutiliser ces secrets pour le mouvement latéral. ...

Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants. L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes. ...