Typosquatting

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets. ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs). ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses. • Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...

Source : socket.dev Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence. L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi. ...

Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier. Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows. ...

Selon CloudSEK, une nouvelle campagne de malware a été détectée, ciblant les utilisateurs de macOS avec un logiciel malveillant connu sous le nom de Atomic macOS Stealer (AMOS). Cette campagne utilise la tactique de social engineering ClickFix pour inciter les utilisateurs à télécharger ce malware. Les attaquants exploitent des domaines de typosquatting imitant le fournisseur de télécommunications américain Spectrum pour tromper les utilisateurs. Cela montre une sophistication croissante dans l’utilisation de techniques de manipulation psychologique pour cibler des systèmes spécifiques. ...