Faits marquants de la semaine
- Le FBI alerte sur Kali365, un service de phishing clé en main qui détourne l’authentification par code d’appareil OAuth de Microsoft 365 pour voler des jetons de session et contourner la double authentification, permettant la prise de contrôle de comptes.
- Une campagne baptisée Megalodon a compromis plus de 5 500 dépôts GitHub en injectant de faux workflows GitHub Actions, capables de dérober identifiants, secrets d’intégration continue, clés et jetons utilisés dans les chaînes de développement logiciel.
- Un nouveau groupe d’espionnage GopherWhisper, aligné sur la Chine, cible des institutions gouvernementales mongoles avec tout un arsenal de malwares, utilisant Discord, Slack, Outlook et d’autres services légitimes pour le contrôle à distance et l’exfiltration de données.
- Une campagne zero-click exploite des failles d’iOS 16 et de WhatsApp pour détourner des comptes sur iPhone sans action de l’utilisateur, en exfiltrant le matériel cryptographique de session puis en envoyant des demandes de virements à partir des conversations récentes.
Les incidents de la semaine illustrent une même tendance : l’attaque directe des mécanismes de confiance – authentification OAuth, workflows GitHub, services de messagerie grand public – pour voler des jetons, secrets et sessions. Des plateformes critiques, de Microsoft 365 à WhatsApp en passant par GitHub et Slack, deviennent le terrain privilégié de campagnes industrielles mêlant phishing-as-a-service, supply chain logicielle et espionnage ciblé.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 14 actualités à retenir cette semaine
Le FBI met en garde contre le service d'hameçonnage Kali365 qui cible les comptes Microsoft 365.
Le FBI met en garde contre la plateforme d'hameçonnage en tant que service (PhaaS) Kali365, utilisée pour détourner des comptes Microsoft 365 en exploitant l'authentification par code de périphérique OAuth afin de voler des jetons de session… Lire la suite
Plus de 5 500 dépôts GitHub infectés par l’attaque de la chaîne d’approvisionnement « Megalodon »
De faux commits automatisés ont injecté des workflows GitHub Actions contenant des charges utiles permettant de voler des identifiants, des secrets d'intégration continue, des clés et des jetons. L'article « Plus de 5 500 dépôts GitHub infectés par l'attaque… Lire la suite
GopherWhisper : un nouveau groupe APT lié à la Chine cible la Mongolie avec un logiciel malveillant basé sur le langage Go
ESET a découvert un nouveau groupe APT lié à la Chine, identifié sous le nom de GopherWhisper, qui cible la Mongolie à l'aide de logiciels malveillants, de chargeurs et de portes dérobées basés sur le langage Go…. Lire la suite
Une attaque par piratage de compte WhatsApp sans clic cible les utilisateurs d'iPhone sous iOS 16. Aucun appareil lié, aucun avertissement préalable.
Une attaque sans interaction (zéro clic) cible les utilisateurs d'iPhone sous iOS 16. Aucun appareil lié, aucun avertissement. Une attaque sans interaction (zéro clic) ciblant les iPhone sous iOS 16 a permis de pirater des comptes WhatsApp… Lire la suite
Des chercheurs découvrent 73 fausses extensions VS Code diffusant le malware GlassWorm v2
Des chercheurs en cybersécurité ont repéré des dizaines d'extensions Microsoft Visual Studio Code (VS Code) sur le dépôt Open VSX, liées à une campagne persistante de vol d'informations baptisée GlassWorm. Ce groupe de 73 extensions a été… Lire la suite
Frénésie alimentaire : le malware « Megalodon » infecte des milliers de dépôts GitHub
En seulement six heures, la campagne a discrètement injecté des milliers de modifications malveillantes dans plus de 5 500 dépôts GitHub, volant des identifiants, des secrets de développeurs et bien plus encore. Lire la suite
Attaque Lotus Wiper visant des entreprises énergétiques et des services publics vénézuéliens
Une analyse du logiciel malveillant destructeur révèle des techniques sophistiquées de « vie hors du territoire » (LotL) et des stratégies détaillées pour la suppression généralisée des données. Lire la suite
Des hackers de TeamPCP utilisent LiteLLM comme une arme pour des attaques de collecte d'identifiants.
Les attaques contre la chaîne d'approvisionnement sont en forte hausse et les cybercriminels concentrent leurs efforts sur les infrastructures d'intelligence artificielle. Dans le cadre d'une campagne très sophistiquée, le groupe TeamPCP a détourné la bibliothèque Python open… Lire la suite
CrowdStrike perturbe le botnet Glassworm qui s'attaquait à la chaîne d'approvisionnement open source.
CrowdStrike a démantelé le botnet Glassworm lors d'une opération menée avec l'aide de Google et Shadowserver, privant ainsi les opérateurs d'accès à l'infrastructure qui leur permettait d'infecter des centaines de logiciels libres depuis début 2025, a annoncé… Lire la suite
Les services de renseignement iraniens seraient à l'origine du piratage du système de transport en commun de Los Angeles, selon des chercheurs.
Le groupe de pirates informatiques prétendait être une équipe de hacktivistes indépendante, mais il a en réalité des liens avec le ministère du Renseignement de la République islamique d'Iran (MOIS), ont déclaré des chercheurs de Gambit Security… Lire la suite
Plus de 300 faux domaines utilisés dans la campagne GHOST STADIUM ciblant les fans de la Coupe du monde
La Coupe du Monde de la FIFA 2026 s'annonce comme le plus grand événement sportif de l'histoire, mais les cybercriminels sont déjà à l'œuvre. Face à des millions de fans en Amérique du Nord qui se disputent… Lire la suite
Le groupe GREYVIBE, lié à la Russie, cible l'Ukraine avec des cyberattaques utilisant l'intelligence artificielle.
Un acteur malveillant jusqu'alors inconnu, baptisé GREYVIBE, est responsable d'attaques continues et persistantes ciblant l'Ukraine et des entités qui lui sont liées depuis au moins août 2025. Selon WithSecure, GREYVIBE serait un groupe russophone opérant principalement dans… Lire la suite
Des auteurs de ransomware se présentent en personne pour voler les données d'un cabinet d'avocats.
Le FBI a averti que le groupe d'extorsion Silent Ransom Group cible les cabinets d'avocats et utilise l'ingénierie sociale pour s'introduire dans les serveurs et les bases de données. Lire la suite
Une campagne d'hameçonnage cible des journalistes et des militants pour voler leurs clés de récupération de sauvegarde.
Des pirates envoient des SMS aux utilisateurs de Signal en se faisant passer pour le service client, leur demandant des clés de récupération. Une fois obtenues, ces clés leur permettent de déchiffrer l'intégralité de l'historique des messages,… Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
