Ghost CMS piraté en masse 🎭, npm infecté par TrapDoor 🚪, Kali365 vole M365 🔑

Veille

26 mai 2026 • 2 minutes de lecture

Bonjour et bienvenue dans cette nouvelle édition du 26 mai 2026 de ta Cybere veille !

Retrouve les trois articles à la une du jour :

Exploitation de la CVE-2026-26980 dans Ghost CMS pour compromettre 700 sites via des redirections malveillantes
Campagne TrapDoor diffuse des paquets malveillants sur npm, PyPI et CratesIO pour voler des identifiants de développeurs
Le FBI signale Kali365 comme service de phishing contourne le MFA et cible les comptes Microsoft 365 via OAuth 2.0

Exploitation de la CVE-2026-26980 dans Ghost CMS pour détourner plus de 700 sites via des attaques ClickFix

Plus de 700 sites utilisant Ghost CMS ont été compromis pour rediriger les visiteurs vers des pages malveillantes promouvant des escroqueries ou des logiciels indésirables.

La vulnérabilité CVE-2026-26980, une faille d’injection de code dans le moteur de templating de Ghost, permet à des attaquants d’exécuter du JavaScript arbitraire sur les sites vulnérables. Les campagnes observées ciblent principalement des instances non mises à jour, injectant des scripts qui déclenchent des redirections vers des domaines frauduleux comme clickfix[.]top.

Points d'attention

La faille affecte les versions de Ghost antérieures à 5.82.3, corrigée en avril 2026.
Les attaques exploitent des requêtes HTTP spécialement conçues pour contourner les protections par défaut.
Les redirections visent à générer des revenus illégitimes via des clics forcés ou des installations de malwares.

Attaque de la chaîne logistique TrapDoor : malware voleur d’identifiants diffusé via npm, PyPI et CratesIO

Cette campagne cible les développeurs pour exfiltrer des identifiants et compromettre des infrastructures logicielles.

Des paquets malveillants, imitant des bibliothèques légitimes, ont été publiés sur npm, PyPI et CratesIO. Ils contenaient un script Python intégré qui s’exécutait à l’installation pour voler des fichiers sensibles (clés SSH, jetons d’API, fichiers de configuration) et les envoyer vers un serveur distant. Les attaquants ont utilisé des techniques d’obfuscation et des noms de paquets similaires à des projets populaires pour tromper les victimes.

Points d'attention

Les paquets malveillants ciblaient spécifiquement les environnements de développement.
L’attaque exploite la confiance accordée aux dépôts publics de paquets.
Aucun identifiant CVE n’a été mentionné pour cette vulnérabilité.

Le FBI alerte sur Kali365, un service de phishing ciblant les comptes Microsoft 365

Cette plateforme permet à des attaquants peu expérimentés de contourner l’authentification multifacteur (MFA) et de voler des jetons de session pour accéder aux données d’entreprise.

Kali365, apparu en avril 2026, exploite le flux d’autorisation OAuth 2.0 Device Code de Microsoft pour générer des codes d’authentification légitimes. Les victimes sont incitées à saisir ces codes sur le portail Microsoft, ce qui permet aux attaquants d’obtenir un jeton OAuth leur donnant un accès complet aux comptes, y compris aux applications SaaS comme Salesforce.

Points d'attention

La plateforme propose des fonctionnalités avancées, comme des leurres générés par IA et un suivi en temps réel des victimes.
Les attaquants créent des règles de messagerie malveillantes et enregistrent de nouveaux appareils pour prolonger leur accès.
Kali365 opère comme une entreprise, avec des revendeurs et des affiliés, et propose aussi un mode adversary-in-the-middle pour voler les cookies de session.

Autres actus importantes

Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

Merci d'avoir pris le temps de me lire.

À très vite pour la prochaine veille 🔐 – Kilian de Cybere