NPM: Ver Shai-Hulud infecte 187 packages 🪲, Kering: Fuite de données 👜, DFAS: Darknet démantelé 🕸️

Maxime Blanc

Maxime Blanc

4 min read

Bonjour et bienvenue dans l'édition du jeudi 18 septembre !

A la une aujourd'hui:

  • Un ver informatique auto-réplicant infecte plus de 180 packages JavaScript
  • Le fondateur de BreachForums condamné à 3 ans de prison pour cybercriminalité
  • Microsoft et Cloudflare neutralisent 338 domaines du réseau de phishing RaccoonO365
  • ShinyHunters s'attaque au géant français du luxe Kering (Balenciaga, Gucci)
  • L'un des derniers bastions du darknet francophone tombe : DFAS démantelé

Un ver informatique auto-réplicant infecte plus de 180 packages JavaScript

Points Clés :

  • Au moins 187 packages sur NPM ont été infectés par un ver auto-réplicant nommé Shai-Hulud
  • Le malware vole les identifiants des développeurs et les publie sur GitHub
  • Même des packages de sécurité de CrowdStrike ont été temporairement compromis

Description :

Un ver informatique baptisé Shai-Hulud a infecté au moins 187 packages JavaScript sur NPM. Ce malware auto-réplicant vole les jetons d'authentification des développeurs, puis modifie et republie les 20 packages les plus populaires auxquels ces identifiants ont accès, propageant ainsi l'infection. Le malware publie ensuite les secrets volés dans des dépôts GitHub publics.

Pourquoi c'est important :

Cette attaque représente une menace majeure pour l'écosystème de développement logiciel, car elle exploite la chaîne d'approvisionnement pour se propager rapidement. Contrairement aux attaques précédentes sur NPM, ce ver se propage automatiquement, permettant l'infection automatique des packages en aval. Les experts recommandent désormais que les référentiels de packages imposent une authentification multifacteur résistante au phishing pour chaque publication.

Le fondateur de BreachForums condamné à 3 ans de prison pour cybercriminalité

Points Clés :

  • Conor Brian Fitzpatrick, administrateur de BreachForums, a été condamné à 3 ans de prison pour cybercriminalité et possession de matériel pédopornographique
  • BreachForums était une place de marché criminelle comptant 330 000 membres et plus de 14 milliards de données volées
  • Malgré les efforts des autorités, le forum a été relancé plusieurs fois sous différents domaines

Description :

Le Département américain de la Justice a recondamné Conor Brian Fitzpatrick à trois ans de prison pour son rôle dans la gestion de BreachForums et pour possession de matériel pédopornographique. Cette nouvelle sentence intervient après l'annulation d'une précédente condamnation jugée trop clémente. Fitzpatrick devra également abandonner plus de 100 noms de domaine et plusieurs appareils électroniques utilisés dans ses activités illicites.

Pourquoi c'est important :

Cette affaire illustre la détermination croissante des autorités à poursuivre les administrateurs de plateformes cybercriminelles. La sévérité de la peine reflète l'ampleur des dommages causés par ces forums qui facilitent le commerce de données volées à grande échelle. Elle souligne également la difficulté persistante à éradiquer définitivement ces plateformes qui réapparaissent régulièrement sous de nouvelles formes malgré les interventions des forces de l'ordre.

Microsoft et Cloudflare neutralisent 338 domaines du réseau de phishing RaccoonO365

Points Clés :

  • Microsoft et Cloudflare ont saisi 338 domaines utilisés par le service de phishing-as-a-service RaccoonO365
  • Ce service a permis de voler plus de 5 000 identifiants Microsoft 365 dans 94 pays depuis juillet 2024
  • Le mastermind derrière RaccoonO365 serait Joshua Ogundipe, basé au Nigeria, qui a généré au moins 100 000$ en cryptomonnaies

Description :

Microsoft et Cloudflare ont coordonné une opération majeure contre RaccoonO365, un service de phishing-as-a-service qui permettait à des cybercriminels sans expertise technique de lancer des attaques sophistiquées. L'opération a abouti à la saisie de 338 domaines, perturbant l'infrastructure technique du groupe et coupant l'accès aux victimes potentielles.

Pourquoi c'est important :

Cette action illustre l'évolution des tactiques contre les services criminels en ligne, passant d'approches réactives à des perturbations proactives à grande échelle. RaccoonO365 représentait une menace particulière car il démocratisait les attaques de phishing sophistiquées, incluant des mécanismes pour contourner l'authentification multifacteur et ciblant notamment des organisations de santé américaines.

ShinyHunters s'attaque au géant français du luxe Kering (Balenciaga, Gucci)

Points Clés :

  • Le groupe Kering (Balenciaga, Gucci) a subi une violation de données affectant les informations personnelles de ses clients
  • Les données volées comprennent des noms, coordonnées et historiques d'achats, mais aucune information financière
  • ShinyHunters utilise les médias nationaux pour amplifier l'impact de ses attaques et contrôler le récit

Description :

Le groupe de luxe français Kering, propriétaire de marques prestigieuses comme Balenciaga et Gucci, a confirmé une violation de données découverte en juin, mais survenue en avril 2025. Cette attaque, attribuée au collectif de hackers ShinyHunters, s'inscrit dans une série de cyberattaques visant le secteur du luxe. Aucune donnée financière n'aurait été compromise, mais les informations sur les habitudes d'achat des clients pourraient être exploitées.

Pourquoi c'est important :

Cette violation souligne la vulnérabilité particulière des marques de luxe, dont la clientèle fortunée représente une cible de choix pour les cybercriminels. L'incident met également en lumière la stratégie médiatique sophistiquée des groupes comme ShinyHunters, qui communiquent directement avec les grands médias pour maximiser l'impact de leurs attaques et prendre le contrôle du récit, obligeant les entreprises à réagir rapidement pour limiter les dommages réputationnels.

L'un des derniers bastions du darknet francophone tombe : DFAS démantelé

Points Clés :

  • Le marché clandestin "Dark French Anti System" (DFAS), actif depuis 2017, a été démantelé par les autorités françaises
  • Deux personnes ont été interpellées, dont le créateur présumé, et six bitcoins d'une valeur de 600 000 euros ont été saisis
  • Cette fermeture marque "la fin de la dernière plateforme francophone d'envergure" sur le darknet selon la procureure de Paris

Description :

Les douanes et l'Office anti-cybercriminalité ont mis fin aux activités de "Dark French Anti System", un forum du darknet francophone comptant 12 000 membres et 110 000 messages. Ce site accessible via Tor proposait drogues, données personnelles et outils d'escroquerie. L'opération, menée conjointement par Cyberdouanes et l'OFAC, a conduit à l'arrestation de deux hommes : le créateur présumé et un contributeur actif. Son démantèlement s'inscrit dans une série d'opérations ayant déjà ciblé d'autres plateformes comme Cosa Nostra, Le Monde Parallèle et French Deep Web.

Pourquoi c'est important :

Cette opération illustre l'efficacité croissante des autorités contre les marchés illicites du darknet. Cependant, elle révèle aussi l'évolution des pratiques criminelles, avec une migration des trafiquants vers des messageries sécurisées comme Telegram ou même des sites accessibles sur le web classique. La cybercriminalité s'adapte constamment, obligeant les forces de l'ordre à diversifier leurs approches pour la combattre.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon jeudi à toi !