Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.

En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.

Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).

Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).

Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....

Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.

Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !

Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un safe-npm et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.

Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...

Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !

Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...

Source

A SoundCloud breach affecting 29.8 million accounts exposed email addresses and profile data, increasing phishing risks.

The post SoundCloud Data Breach Exposes Nearly 30M User Accounts appeared first on TechRepublic.

A sophisticated phishing campaign impersonating WhatsApp Web uses fake meeting links and QR codes to hijack accounts and enable real-time surveillance.

The post This WhatsApp Link Can Hand Over Your Account in Seconds appeared first on TechRepublic.

Vous vous êtes déjà demandé d’où venaient tous ces SMS bidons qui vous disent “Bonjour c’est le coursier…” ou vous demande “Est ce que vous êtes chez vous " ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos téléphones tous les jours ?

Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqués dans des placards à balais. Ce sont des trucs conçus à la base pour connecter des feux de circulation ou des compteurs électriques à Internet, qui sont détournés par des escrocs pour balancer des milliards de SMS frauduleux.

Selon Sekoia , la boîte de cybersécurité française qui a mené l’enquête, c’est en analysant des traces réseau suspectes dans leurs honeypots qu’ils sont tombés sur ce système. En creusant un peu, ils ont découvert comme ça plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d’entre eux qui permettaient à n’importe qui de se connecter à leurs interfaces d’admin sans authentification. Bref, la porte grande ouverte…

Ces routeurs, fabriqués par Milesight IoT , c’est du matériel industriel costaud. Ce sont des boîtiers 3G/4G/5G qui servent normalement à connecter des équipements à distance, genre des capteurs ou des systèmes de contrôle. Ils sont équipés de cartes SIM et peuvent être contrôlés par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c’est le jackpot car une fois qu’il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.

Les chercheurs de Sekoia ont alors envoyé des requêtes aux API non protégées de ces routeurs et ont récupéré le contenu des boîtes de réception et d’envoi de SMS. Et là, surprise, ils ont trouvé des campagnes de smishing qui dataient d’octobre 2023. Les messages visaient principalement des numéros en Suède, en Belgique et en Italie. Les textos envoyés demandaient aux gens de se connecter à des services gouvernementaux bidon pour “vérifier leur identité”, avec des liens qui menaient vers des sites frauduleux récupérant les identifiants.

Rien qu’en analysant les SMS, on dénombre de 42 044 numéros suédois uniques et 31 353 numéros italiens ciblés dans des campagnes de masse lancées simultanément. La Belgique serait même le pays le plus touché, avec plusieurs campagnes observées entre novembre 2022 et juillet 2025.

Alors comment ces routeurs se sont-ils retrouvés compromis ?

Et bien c’est pas encore totalement clair. Une première piste, c’est la CVE-2023-43261 , une vulnérabilité corrigée en 2023 avec la version 35.3.0.7 du firmware. En gros, il s’agit d’une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l’interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffrés des comptes admin, mais aussi la clé de chiffrement et le vecteur d’initialisation pour les déchiffrer. Donc autant dire que c’était cadeau pour les cybercriminels.

Selon le chercheur Bipin Jitiya , qui a découvert cette faille, un attaquant pouvait récupérer le mot de passe en clair et prendre le contrôle total du routeur. À noter que la majorité des 572 routeurs identifiés comme non sécurisés tournaient avec des versions de firmware 32 ou antérieures, donc ultra-vulnérables.

Mais attention, l’histoire se complique. Les chercheurs de Sekoia ont trouvé des incohérences avec cette théorie. Par exemple, un cookie d’authentification trouvé sur un routeur piraté ne pouvait pas être déchiffré avec la clé et le vecteur d’initialisation décrits dans l’article de Jitiya. Et puis, certains routeurs utilisés abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n’étaient pas sensibles à la CVE-2023-43261.

Du coup, il y a probablement d’autres méthodes d’exploitation en jeu.

Les sites de phishing eux-mêmes étaient assez bien foutus. Ils utilisaient du JavaScript pour ne délivrer du contenu malveillant que si vous accédiez au site depuis un téléphone mobile. Un autre site désactivait carrément le clic droit et les outils de débogage du navigateur. Bref, des techniques pour compliquer l’analyse et le reverse engineering.

Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appelé “GroozaBot”. Ce bot serait opéré par un acteur nommé “Gro_oza”, qui semble parler arabe et français. De plus, les artefacts JavaScript trouvés font référence à “Grooza”, ce qui suggère une continuité entre l’infrastructure, les outils et l’identité de l’opérateur.

Mais surtout, ce qui est dingue avec cette histoire, c’est que c’est un vecteur d’attaque relativement simple mais très efficace. Ces routeurs permettent en effet une distribution décentralisée de SMS dans plein de pays différents, ce qui complique énormément la détection et la suppression des campagnes. Les chercheurs estiment qu’il est d’ailleurs très probable que d’autres équipements similaires soient déjà exploités dans des campagnes en cours ou à venir.

Bref, on n’est pas vraiment plus avancé, mais voilà, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez à ces petits boîtiers oubliés dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.

Et si vous gérez ce genre de matériel dans votre job, pensez à mettre à jour le firmware et à sécuriser les interfaces, parce que là, visiblement c’est vraiment trop facile pour les pirates…

Source

A l’époque où je bossais encore pour de vrai dans une entreprise normale et que je n’étais pas encore super-blogueur-professionnel, PhishyURL est le genre de truc qui ne m’aurait pas forcement fait beaucoup rire… Mais le temps est passé et je me dis que si votre équipe informatique vous casse un peu les pieds, c’est peut être le moment de prendre votre (gentille) revanche en leur faisant un petit poisson d’avril en plein mois de septembre.

Hé oui car PhishyURL est un générateur d’URLs qui n’a pour seul but que de foutre les jetons à votre équipe informatique. L’idée c’est que vous entrez une URL parfaitement légitime, disons celle de la page d’accueil de votre boîte, et l’outil vous sort un lien qui ressemble à ce que Satan lui-même enverrait par mail après une nuit de beuverie avec des hackers russes.

Et au menu des thèmes disponibles, on trouve tout ce qui fait transpirer un responsable sécu : crypto douteuse, finance louche, phishing assumé, shopping suspect, casino en ligne, rencontres hot et même du contenu adulte. De quoi transformer n’importe quel lien vers les photos de vacances de mamie en quelque chose qui ressemble à une invitation directe vers les enfers numériques.

Une fois votre super URL générée, vous l’envoyez par mail à un collègue et le rythme cardiaque de quelques personnes va s’accélérer…

JE SAIS C’EST MAL ! Mais c’est drôle quand même ! Ça peut même servir pour faire vos épreuves de phishing et faire ensuite la morale à Michel de la compta qui clique sur tout ce qui peut lui permettre de voir des boobs.

Voilà, amusez-vous bien mais n’abusez pas des bonnes choses…

Neo dans Matrix avait le choix entre pilule rouge et bleue et nous, c’est entre fermer les yeux sur les domaines qui s’inspire des nôtres pour nous voler du trafic, ou ouvrir dnstwist et voir jusqu’où va le terrier du lapin.

Après avoir testé plusieurs scanners anti-phishing qui promettent monts et merveilles, j’étais sceptique, mais dnstwist fait partie des rares qui tiennent leurs promesses. J’ai lancé un scan sur korben.info pour voir ce que ça donnait, et là… 434 permutations générées, 19 domaines déjà enregistrés ce qui est pas mal pour un site qui existe depuis des temps immémoriaux ^^.

Learn about the differences between spear phishing and phishing, so you can identify and protect your organization from threats.

The phishing-as-a-service kit from Sneaky Log creates fake authentication pages to farm account information, including two-factor security codes.

Check Point documented 5,000 emails coming from legitimate-looking organizational domains.

Ghost calls are an annoying indicator of a potential security issue. Learn why they happen, when you should worry, and how to stop them.

Mimecast tells TechRepublic that AI may exacerbate phishing risks in Australia.

Threat actors are abusing Microsoft Sway to host QR Code phishing campaigns.

This guide covers various ransomware attacks, including Colonial Pipeline, WannaCry and LockBit, the systems hackers target and how to avoid becoming a victim and paying cybercriminals a ransom.

‘Operation Endgame’ is an ongoing effort to disrupt botnets, malware droppers and malware-as-a-service.

A new report by cyber security firm Radware identifies the four main impacts of AI on the threat landscape emerging this year.