Campagne de spearphishing abuse le registre npm pour héberger des leurres Microsoft et contourner la MFA

Selon Socket (Socket Threat Research Team), une opération de spearphishing ciblée et soutenue a détourné le registre npm comme couche d’hébergement et de distribution pendant au moins cinq mois, avec 27 paquets malveillants publiés sous six alias, visant des personnels commerciaux de secteurs industriels et santé aux États-Unis et dans des pays alliés. — Portée et objectifs. La campagne cible des individus spécifiques (25 identités) dans des fonctions commerciales (vente, account management, business dev.) de secteurs adjacents aux infrastructures critiques (manufacturing, automatisation industrielle, plasturgie, santé/pharma). Les leurres imitent des portails de partage de documents et des pages de connexion Microsoft pour la capture d’identifiants.

Over 70 Domains Used in Months-Long Phishing Spree Against US Universities

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

Evilginx: l’analyse DNS dévoile une infrastructure de phishing SSO visant des universités américaines

Source: Infoblox (blog Threat Intelligence). Contexte: Infoblox décrit une série d’attaques de phishing adversary‑in‑the‑middle (AITM) avec Evilginx visant des portails SSO d’universités américaines depuis avril 2025, et explique comment l’analyse DNS a permis de cartographier l’infrastructure et de suivre les campagnes. Les campagnes ont été diffusées par email avec des liens TinyURL redirigeant vers des URL de phishing générées par des « phishlets » Evilginx. Chaque URL utilisait un sous‑domaine imitant le SSO ciblé et un chemin à 8 lettres aléatoires, avec une expiration en 24 h. Evilginx a proxifié en temps réel les flux d’authentification, rendant le trafic légitime en apparence et contournant la MFA. 🎣

DNS Uncovers Infrastructure Used in SSO Attacks

Learn how DNS was used to uncover Evilginx AITM infrastructure attacking U.S. university single sign-on (SSO) portals to phish student login credentials.

DNS Uncovers Infrastructure Used in SSO Attacks

Learn how DNS was used to uncover Evilginx AITM infrastructure attacking U.S. university single sign-on (SSO) portals to phish student login credentials.

Working With Evilginx on premises

Un cybercriminel installe pour test l’antivirus de nouvelle génération d'Huntress, révélant ainsi ses opérations quotidiennes

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR. Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress.