Typosquatting

Source : socket.dev Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence. L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi. ...

Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier. Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows. ...

Selon CloudSEK, une nouvelle campagne de malware a été détectée, ciblant les utilisateurs de macOS avec un logiciel malveillant connu sous le nom de Atomic macOS Stealer (AMOS). Cette campagne utilise la tactique de social engineering ClickFix pour inciter les utilisateurs à télécharger ce malware. Les attaquants exploitent des domaines de typosquatting imitant le fournisseur de télécommunications américain Spectrum pour tromper les utilisateurs. Cela montre une sophistication croissante dans l’utilisation de techniques de manipulation psychologique pour cibler des systèmes spécifiques. ...

Selon un rapport de BleepingComputer, une campagne de malware utilisant le loader Bumblebee a été découverte, ciblant des outils open-source populaires comme Zenmap et WinMTR. Cette campagne utilise des techniques de typosquatting et de SEO poisoning pour tromper les utilisateurs. Les attaquants ont créé des sites web frauduleux tels que zenmap[.]pro et winmtr[.]org pour distribuer des payloads malveillants. Bien que winmtr[.]org soit actuellement hors ligne, zenmap[.]pro reste actif et redirige les utilisateurs vers une fausse version du site de Zenmap. ...