Phishing invitations to Y Combinator aimed at stealing cryptocurrencies, the destruction of the largest SIM farm in the USA, and other cybersecurity events.

# Invitations de phishing pour Y Combinator dans le but de voler des cryptomonnaies, destruction de la plus grande ferme SIM des États-Unis et autres événements de cybersécurité

Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité de la semaine.

• Les développeurs de blockchain ont téléchargé le styler de cryptomonnaie presque 8500 fois.
• Des crypto-drainers ont été découverts dans les invitations à l'accélérateur de start-ups Y Combinator.
• Un nouveau malware sur macOS vise à voler les cryptomonnaies des développeurs.
• Le service secret américain a démantelé la plus grande ferme SIM près du siège de l'ONU.

Les développeurs de blockchain ont téléchargé le stealer de cryptomonnaie près de 8500 fois

Deux paquets malveillants dans le dépôt officiel du langage de programmation Rust ont scanné les appareils des développeurs dans le but de voler des cryptomonnaies et des informations secrètes. Depuis le 25 mai 2025, ils ont été téléchargés 8424 fois. C'est ce qu'ont rapporté le 24 septembre des chercheurs en sécurité de Socket.

Les malwares faster_log et async_println se sont propagés via le registre Crates.io, équivalent de npm pour JavaScript. Ils ont imité le légitime fast_log en copiant son fichier README et les métadonnées du dépôt. Ce faisant, le malware a préservé la fonction de journalisation du projet réel afin de réduire les soupçons.

Exemples de paquets frauduleux et authentiques pour les développeurs Rust. Source : Socket. Le logiciel des fraudeurs a scanné l'environnement de la victime et les fichiers sources du projet à la recherche des éléments suivants :

• chaînes hexadécimales, semblables aux clés privées Ethereum;
• chaînes Base58, ressemblant à des clés et des adresses Solana;
• tableaux d'octets entre crochets, qui peuvent cacher des phrases de récupération.

Après avoir trouvé des correspondances, le code a exfiltré des données vers une URL codée.

La plateforme a supprimé les faux paquets et bloqué les comptes des escrocs le jour de l'avis.

Des cryptodrainers découverts dans les invitations à l'accélérateur de startups Y Combinator

Une vaste campagne de phishing vise les utilisateurs de GitHub par le biais de drains de cryptomonnaie, s'infiltrant à travers de fausses invitations à participer au programme de soutien aux start-ups Y Combinator.

Le 24 septembre, BleepingComputer a rapporté que des malfaiteurs avaient exploité des vulnérabilités dans le système de notifications pour envoyer des messages frauduleux. Ils créaient des tâches dans plusieurs dépôts et marquaient les utilisateurs ciblés.

Lorsqu'un nom de compte est mentionné, GitHub envoie automatiquement une notification. Étant donné que l'e-mail provient d'une source légitime, il va directement dans la boîte de réception.

En tant qu'appât, une invitation a été envoyée pour soumettre une candidature à la prochaine ronde de financement de Y Combinator avec un fonds de 15 millions de dollars. Dans certains dépôts, jusqu'à 500 tâches ont été ouvertes par un utilisateur qui s'était inscrit seulement une semaine auparavant.

Site contrefait avec une erreur intentionnelle dans le nom de domaine. Source : BleepingComputer.Des destinataires d'e-mails ont été invités à cliquer sur un lien de phishing. Le domaine contrefait de la page était écrit avec une erreur presque imperceptible («l» au lieu de «i»). Après avoir cliqué sur le lien, un JavaScript était lancé, proposant de vérifier le portefeuille crypto. La signature lançait des transactions malveillantes pour vider les comptes.

Après des plaintes sur GitHub, IC3 et Google Safe Browsing, les dépôts frauduleux ont été supprimés.

Un nouveau malware sous macOS vise à voler les cryptomonnaies des développeurs

Le 25 septembre, les spécialistes de Microsoft Threat Intelligence ont découvert une nouvelle variante de malware XCSSET pour macOS, conçue pour voler des notes, des cryptomonnaies et des données de navigateurs sur des appareils infectés. Il se propage en recherchant et en infectant d'autres projets dans l'environnement de développement Xcode, s'exécutant lors de la compilation du produit.

«Nous pensons que cette méthode d'infection et de propagation est basée sur l'échange de fichiers de projets entre des développeurs créant des applications pour Apple ou macOS», indique le rapport des experts.

Les chercheurs ont noté plusieurs changements dans la nouvelle version du styler :

• ciblage des données du navigateur Firefox et installation de la version modifiée de HackBrowserData, qui déchiffre et exporte les données des magasins;
• mise à jour du composant d'interception du presse-papiers macOS, qui analyse les modèles d'expressions régulières liés aux adresses de cryptomonnaie;
• après la découverte du portefeuille crypto, il est remplacé par un portefeuille frauduleux.

Le Secret Service des États-Unis a neutralisé la plus grande ferme SIM près du siège de l'ONU

Le 23 septembre, le Secret Service des États-Unis a annoncé la réalisation d'une opération au cours de laquelle la plus grande ferme SIM de l'histoire du pays a été découverte et neutralisée.

Selon le New York Times, l'enquête sur cette affaire a commencé après que des appels anonymes menaçants ont été reçus par des hauts fonctionnaires au début de l'année. Les victimes étaient deux employés de la Maison Blanche et un agent du Secret Service.

Au cours des opérations, plus de 300 serveurs SIM combinés et 100 000 cartes SIM ont été saisis. La ferme était située à 56 km du siège des Nations Unies, où se tenait une réunion de l'Assemblée générale avec la participation de dirigeants mondiaux. Les services de renseignement ont réussi à neutraliser la ferme quelques heures avant la réunion.

![](https://img-cdn.gateio.im/webp-social/moments-06532f974bcb5e3ab2eb96ed0fdc8226.webp01Source : Service secret des États-Unis. La capacité de la ferme permettait d'envoyer du spam en quelques minutes à presque tous les numéros de téléphone américains, ainsi que de paralyser l'ensemble du réseau de télécommunications national.

Au cours de l'enquête, les agents ont découvert des appartements vides de conspiration, loués à Armonk ) État de New York (, à Greenwich ) État du Connecticut (, à Queens ) État de New York ( et au New Jersey. Les agents ont également saisi des armes à feu, des ordinateurs, des téléphones mobiles et 80 grammes de cocaïne.

Les premières pistes sont apparues dans l'affaire de l'attaque contre les aéroports européens

Le 24 septembre, un suspect dans la diffusion d'un logiciel de rançon qui a causé d'importantes perturbations dans les systèmes des aéroports européens a été arrêté.

Un homme a été arrêté au Royaume-Uni par la NCA dans le cadre d'une enquête sur un incident cybernétique touchant Collins Aerospace.

Lire l'histoire complète ➡️ pic.twitter.com/v2DL1st9SC

— Agence nationale de la criminalité )NCA( )@NCA_UK( 24 septembre 2025

Les forces de l'ordre ont déclaré que l'arrestation a été effectuée après une enquête sur une cyberattaque qui a touché le logiciel Multi-User System Environment )MUSE( de Collins Aerospace. Pendant l'enquête, le suspect a été libéré sous caution.

L'attaque a été détectée vendredi 19 septembre, lorsque les premiers rapports de retards de vols sont apparus. Parmi les nœuds de transport rencontrant des difficultés techniques figurent l'aéroport de Heathrow à Londres, l'aéroport de Bruxelles, l'aéroport de Dublin, l'aéroport de Berlin-Tegel et d'autres.

Interpol a saisi 439 millions de dollars en cryptomonnaie et en espèces

Au cours d'une opération internationale dirigée par Interpol, les forces de l'ordre ont saisi plus de 439 millions de dollars en espèces et en cryptomonnaie. Les autorités considèrent que les fonds confisqués sont liés à des cybercriminalités qui ont touché des milliers de victimes à travers le monde.

L'opération codée HAECHI VI a eu lieu d'avril à août avec la participation des autorités de 40 pays. Au cours de celle-ci, les enquêteurs ont arrêté 400 portefeuilles de cryptomonnaies et bloqué plus de 68 000 comptes bancaires associés. Environ 16 millions de dollars en cryptomonnaies ont été saisis.

Dans le cadre d'une opération au Portugal, 45 suspects d'accès illégal aux comptes de sécurité sociale ont été arrêtés. De plus, la police royale thaïlandaise a saisi 6,6 millions de dollars, transférés par une entreprise japonaise non nommée sur des comptes contrôlés par un groupe criminel transnational composé de citoyens thaïlandais et d'Afrique de l'Ouest.

Aussi sur ForkLog :

• Le protocole DeFi Hypervault a « disparu » avec des crypto-actifs d'une valeur de 3,6 millions de dollars.
• Médias : la SEC et la FINRA ont ouvert une enquête contre les entreprises DAT.
• Le cofondateur d'Ethereum a appelé à remplacer les systèmes fermés dans la médecine et les finances par des solutions ouvertes.
• Le hacker qui a piraté UXLINK est lui-même devenu une victime de l'attaque.
• Bloomberg a rapporté un piratage de Crypto.com auparavant inconnu.
• Le fondateur de Solana a averti de la réalité de la menace quantique pour le bitcoin.