Credential Theft

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🗓️ Contexte Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2). 🔗 Technique d’hébergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur : ...

🗓️ Contexte Source : BleepingComputer, publié le 12 avril 2026. L’article s’appuie sur un rapport de la société Sysdig, spécialisée en sécurité cloud. 🔍 Vulnérabilité CVE-2026-39987 affecte Marimo, une plateforme open-source de notebooks Python réactifs, dans toutes les versions 0.20.4 et antérieures. Le score CVSS GitHub est de 9.3/10 (critique). La faille réside dans l’endpoint WebSocket /terminal/ws qui expose un terminal interactif sans vérification d’authentification, permettant à tout client non authentifié de se connecter et d’obtenir un shell interactif avec les privilèges du processus Marimo. ...

🌐 Contexte Source : FBI Atlanta (fbi.gov), publiée le 10 avril 2026. Il s’agit d’une annonce officielle relative à une opération judiciaire internationale coordonnée entre les États-Unis et l’Indonésie, une première entre ces deux pays dans le domaine de la cybercriminalité. 🎯 Nature de la menace L’opération ciblait le kit de phishing W3LL, un outil cybercriminel vendu en tant que service permettant à ses utilisateurs de déployer des fausses pages de connexion imitant des portails légitimes. Pour environ 500 dollars, les acheteurs pouvaient accéder au kit et l’utiliser pour : ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

🕵️ Contexte Publié le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article présente une analyse technique d’un nouvel infostealer nommé Storm, apparu sur des forums cybercriminels clandestins en début d’année 2026. 🦠 Description du malware Storm est un infostealer vendu sous forme d’abonnement, développé en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de déchiffrement côté serveur des credentials navigateur, contournant ainsi les outils de sécurité endpoint qui surveillent les accès locaux aux bases de données de credentials. ...

🎯 Contexte Article publié le 30 mars 2026 par Sublime Security (Brandon Murphy), dans le cadre de leur série « Attack Spotlight ». Il décrit une campagne de phishing de credentials en cours, usurpant l’identité de Google Careers, détectée sur les environnements Google Workspace et Microsoft 365. 📧 Mécanisme d’attaque La campagne débute par un email imitant un recruteur Google Careers proposant un entretien. Le flux d’attaque est le suivant : ...

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

🌐 Contexte Article publié le 25 mars 2026 sur infostealers.com par Hudson Rock, société spécialisée en cybercrime intelligence. L’article décrit une évolution structurelle du marché de l’accès initial aux systèmes d’information. 🔍 Phénomène observé Des services de lookup de credentials volés par infostealers se sont développés en plateformes centralisées, transformant l’accès initial à des réseaux d’entreprise en une transaction automatisée et bon marché. Ces plateformes agrègent des milliards de credentials compromis et de cookies de session actifs, structurés et interrogeables par URL, login et mot de passe. ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...