Le 15 mars 2026, un attaquant s'est introduit dans COMPAS, le système de gestion RH des enseignants stagiaires du ministère de l'Éducation nationale, en usurpant les identifiants d'un compte externe. Il a fallu quatre jours pour détecter l'intrusion. Entre-temps, les données personnelles de 243 000 agents avaient déjà été extraites, et une partie circulerait désormais en ligne.
Le 23 mars 2026, une vidéo publiée sur X par Claude a propulsé Dispatch sur le devant de la scène. Cette fonctionnalité de Cowork permet à l'IA d'Anthropic de travailler seule sur votre ordinateur pendant que vous lui donnez des ordres depuis votre téléphone. Lancée discrètement quelques jours plus tôt, elle est désormais au cœur de l'attention, et ce qu'Anthropic écrit en petites lettres sur la sécurité mérite qu'on s'y attarde.
Ou comment Orange et l'Agence nationale des fréquences (ANFR) ont traqué à partir de la fin de l'été 2022 ces machines sensibles utilisées par des escrocs pour envoyer des SMS de hameçonnage.
Le 20 mars 2026, un journaliste de Numerama a reçu sur son compte Signal un message prétextant émaner du support de la messagerie chiffrée. Une campagne cyber-malveillante dans le viseur des autorités européennes depuis plus d'un mois.
Depuis plusieurs jours, des internautes signalent une nouvelle campagne de phishing par SMS ciblant des numéros français. Sa particularité : elle s'appuie sur une photo générée par intelligence artificielle pour tenter de tromper ses victimes.
De nouvelles recherches d’Infoblox Threat Intel montrent comment des cybercriminels détournent un élément fondamental d’Internet pour contourner de nombreux contrôles de sécurité actuels. Tribune – Les attaques de phishing sont omniprésentes, mais leurs méthodes suivent généralement des schémas et tendances bien identifiés. Une étude menée par Infoblox Threat Intel met cependant en lumière une nouvelle […]
The post De nouvelles campagnes de phishing exploitent l’espace de noms de domaine réservé first appeared on UnderNews.
De nouvelles recherches d’Infoblox Threat Intel montrent comment des cybercriminels détournent un élément fondamental d’Internet pour contourner de nombreux contrôles de sécurité actuels. Tribune – Les attaques de phishing sont omniprésentes, mais leurs méthodes suivent généralement des schémas et tendances bien identifiés. Une étude menée par Infoblox Threat Intel met cependant en lumière une nouvelle […]
The post De nouvelles campagnes de phishing exploitent l’espace de noms de domaine réservé first appeared on UnderNews.
La persistance des attaques de phishing, y compris leurs variantes comme le spear phishing et le smishing, reste une menace critique pour les entreprises, comme le montre le Baromètre Cesin 2026. Celui-ci révèle que ces attaques sont responsables de 55 % des incidents signalés. Cette tendance est le résultat d’un écart fondamental, où les tactiques […]
The post Combler les lacunes en matière de phishing avec des clés de sécurité physiques first appeared on UnderNews.
La persistance des attaques de phishing, y compris leurs variantes comme le spear phishing et le smishing, reste une menace critique pour les entreprises, comme le montre le Baromètre Cesin 2026. Celui-ci révèle que ces attaques sont responsables de 55 % des incidents signalés. Cette tendance est le résultat d’un écart fondamental, où les tactiques […]
The post Combler les lacunes en matière de phishing avec des clés de sécurité physiques first appeared on UnderNews.
Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.
En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.
Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).
Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).
Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....
Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.
Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !
Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un
safe-npm
et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.
Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...
Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !
Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...
Kaspersky a mis au jour un nouveau stratagème de phishing qui détourne les notifications légitimes de Google Tasks pour inciter les employés à révéler leurs identifiants de connexion professionnels. En utilisant le domaine de confiance @google.com et le système de notification officiel de Google, les attaquants contournent les filtres de sécurité traditionnels et exploitent la […]
The post Kaspersky découvre une nouvelle campagne de phishing exploitant les notifications Google Tasks pour voler des identifiants d’entreprise first appeared on UnderNews.
Kaspersky a mis au jour un nouveau stratagème de phishing qui détourne les notifications légitimes de Google Tasks pour inciter les employés à révéler leurs identifiants de connexion professionnels. En utilisant le domaine de confiance @google.com et le système de notification officiel de Google, les attaquants contournent les filtres de sécurité traditionnels et exploitent la […]
The post Kaspersky découvre une nouvelle campagne de phishing exploitant les notifications Google Tasks pour voler des identifiants d’entreprise first appeared on UnderNews.
Connexion