Nous ouvrons cette édition avec le recrutement actif de femmes par le groupe cybercriminel Scattered Lapsus$ Hunters pour renforcer ses opérations de Social Engineering. Selon des publications repérées par Dataminr sur Telegram, le groupe propose des rémunérations allant de 500 à 1 000 dollars par appel, indexées sur le taux de réussite. La cible principale reste les helpdesks IT, avec pour objectif d’obtenir des credentials permettant un accès initial au réseau des organisations visées. Cette initiative s’inscrit dans une tendance plus large de Crowdsourcing criminel, le même groupe ayant proposé en octobre dernier de payer 10 dollars en Bitcoin pour harceler des dirigeants d’entreprises ciblées par ses tentatives d’extorsion.
Microsoft alerte sur une campagne coordonnée ciblant les développeurs via de faux dépôts Next.js déguisés en projets légitimes ou en exercices techniques d’entretien d’embauche. Trois vecteurs d’exécution distincts ont été identifiés : l’automatisation des workspaces Visual Studio Code via le trigger « runOn: folderOpen », l’activation lors du Build via « npm run dev », et le déclenchement au démarrage du backend avec exfiltration des variables d’environnement. Les trois méthodes convergent vers un même Payload JavaScript exécuté In-Memory, suivi d’un contrôleur de seconde étape assurant la persistance via un serveur C2. Abstract Security et Red Asgard ont documenté des évolutions tactiques incluant l’utilisation de GitHub Gists, de la blockchain Polygon et du malware BeaverTail. GitLab a banni 131 comptes liés à l’opération Contagious Interview et au schéma Wagemole, révélant une cellule structurée ayant généré plus de 1,64 million de dollars entre 2022 et 2025.
Le service de Phishing-as-a-Service Starkiller, analysé par Abnormal AI, permet de charger dynamiquement les véritables pages de connexion des marques ciblées et d’agir comme un Reverse Proxy entre la victime et le site légitime. Le mécanisme repose sur un conteneur Docker exécutant une instance headless de Chrome. Chaque frappe clavier, soumission de formulaire et token de session transite par l’infrastructure de l’attaquant. La plateforme offre un monitoring de session en temps réel, un Keylogger, le vol de Cookies et de Session Tokens, le Geo-Tracking et des alertes automatisées via Telegram. Opéré par le groupe Jinkusu, le service neutralise efficacement les protections MFA en relayant l’intégralité du flux d’authentification.
Côté avis du CERT-FR, trois publications à signaler. L’avis CERTFR-2026-AVI-0218 couvre de multiples vulnérabilités dans les produits VMware, avec plus de trente bulletins de sécurité émis par Broadcom. Les systèmes affectés incluent VMware Workstation, Fusion, l’écosystème Tanzu et les Stemcells. Les risques identifiés sont le déni de service à distance, l’atteinte à la confidentialité des données et le contournement de la politique de sécurité. L’avis CERTFR-2026-AVI-0216 concerne la vulnérabilité CVE-2026-3172 dans l’extension pgvector de PostgreSQL, corrigée en version 0.8.2, permettant un déni de service à distance et une atteinte à la confidentialité des données. Enfin, l’avis CERTFR-2026-AVI-0212 porte sur des vulnérabilités critiques dans Centreon Web et Centreon Open Tickets, incluant l’exécution de code arbitraire à distance et l’injection SQL, avec cinq CVE associées dont CVE-2026-2750 de sévérité critique.
Sources :
- The Register – Scattered Lapsus$ Hunters auditioning female voices to sharpen social engineering : https://www.theregister.com/2026/02/26/scattered_lapsus_hunters_female_recruits/
- The Hacker News – Microsoft Warns Developers of Fake Next.js Job Repos Delivering In-Memory Malware : https://thehackernews.com/2026/02/fake-nextjs-repos-target-developers.html
- Krebs on Security – Starkiller Phishing Service Proxies Real Login Pages, MFA : https://krebsonsecurity.com/2026/02/starkiller-phishing-service-proxies-real-login-pages-mfa/
- CERT-FR – Avis CERTFR-2026-AVI-0218 – Multiples vulnérabilités dans les produits VMware : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0218/
- CERT-FR – Avis CERTFR-2026-AVI-0216 – Vulnérabilité dans PostgreSQL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0216/
- CERT-FR – Avis CERTFR-2026-AVI-0212 – Multiples vulnérabilités dans les produits Centreon : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0212/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com