Le 20 mars 2026, un journaliste de Numerama a reçu sur son compte Signal un message prétextant émaner du support de la messagerie chiffrée. Une campagne cyber-malveillante dans le viseur des autorités européennes depuis plus d'un mois.
Depuis plusieurs jours, des internautes signalent une nouvelle campagne de phishing par SMS ciblant des numéros français. Sa particularité : elle s'appuie sur une photo générée par intelligence artificielle pour tenter de tromper ses victimes.
De nouvelles recherches d’Infoblox Threat Intel montrent comment des cybercriminels détournent un élément fondamental d’Internet pour contourner de nombreux contrôles de sécurité actuels. Tribune – Les attaques de phishing sont omniprésentes, mais leurs méthodes suivent généralement des schémas et tendances bien identifiés. Une étude menée par Infoblox Threat Intel met cependant en lumière une nouvelle […]
The post De nouvelles campagnes de phishing exploitent l’espace de noms de domaine réservé first appeared on UnderNews.De nouvelles recherches d’Infoblox Threat Intel montrent comment des cybercriminels détournent un élément fondamental d’Internet pour contourner de nombreux contrôles de sécurité actuels. Tribune – Les attaques de phishing sont omniprésentes, mais leurs méthodes suivent généralement des schémas et tendances bien identifiés. Une étude menée par Infoblox Threat Intel met cependant en lumière une nouvelle […]
The post De nouvelles campagnes de phishing exploitent l’espace de noms de domaine réservé first appeared on UnderNews.La persistance des attaques de phishing, y compris leurs variantes comme le spear phishing et le smishing, reste une menace critique pour les entreprises, comme le montre le Baromètre Cesin 2026. Celui-ci révèle que ces attaques sont responsables de 55 % des incidents signalés. Cette tendance est le résultat d’un écart fondamental, où les tactiques […]
The post Combler les lacunes en matière de phishing avec des clés de sécurité physiques first appeared on UnderNews.La persistance des attaques de phishing, y compris leurs variantes comme le spear phishing et le smishing, reste une menace critique pour les entreprises, comme le montre le Baromètre Cesin 2026. Celui-ci révèle que ces attaques sont responsables de 55 % des incidents signalés. Cette tendance est le résultat d’un écart fondamental, où les tactiques […]
The post Combler les lacunes en matière de phishing avec des clés de sécurité physiques first appeared on UnderNews.Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.
En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.
Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).
Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).
Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....
Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.
Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !
Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un
safe-npm
et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.
Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...
Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !
Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...
Kaspersky a mis au jour un nouveau stratagème de phishing qui détourne les notifications légitimes de Google Tasks pour inciter les employés à révéler leurs identifiants de connexion professionnels. En utilisant le domaine de confiance @google.com et le système de notification officiel de Google, les attaquants contournent les filtres de sécurité traditionnels et exploitent la […]
The post Kaspersky découvre une nouvelle campagne de phishing exploitant les notifications Google Tasks pour voler des identifiants d’entreprise first appeared on UnderNews.Kaspersky a mis au jour un nouveau stratagème de phishing qui détourne les notifications légitimes de Google Tasks pour inciter les employés à révéler leurs identifiants de connexion professionnels. En utilisant le domaine de confiance @google.com et le système de notification officiel de Google, les attaquants contournent les filtres de sécurité traditionnels et exploitent la […]
The post Kaspersky découvre une nouvelle campagne de phishing exploitant les notifications Google Tasks pour voler des identifiants d’entreprise first appeared on UnderNews.Selon les données collectées par Kaspersky en 2025, presque un e-mail sur deux était un spam, soit 44,99% du trafic mondial. Les spams peuvent être des e-mails non sollicités, mais aussi des escroqueries, du phishing ou contenir des malwares. En 2025, plus de 144 millions de pièces jointes malveillantes, ou potentiellement indésirables, ont été reçues, […]
The post En 2025, les e-mails malveillants ont connu une hausse de 15%, selon une étude de Kaspersky first appeared on UnderNews.Selon les données collectées par Kaspersky en 2025, presque un e-mail sur deux était un spam, soit 44,99% du trafic mondial. Les spams peuvent être des e-mails non sollicités, mais aussi des escroqueries, du phishing ou contenir des malwares. En 2025, plus de 144 millions de pièces jointes malveillantes, ou potentiellement indésirables, ont été reçues, […]
The post En 2025, les e-mails malveillants ont connu une hausse de 15%, selon une étude de Kaspersky first appeared on UnderNews.
Connexion