L'attaque JavaScript JSFireTruck infecte plus de 269 000 pages Web en 2025

AccueilActualités* Des chercheurs ont identifié une campagne répandue utilisant du JavaScript obfusqué pour infecter des sites Web légitimes.

• La campagne, nommée “JSFireTruck”, utilise une technique de codage obscure pour cacher le véritable objectif du code.
• Les sites Web compromis redirigent les utilisateurs venant des moteurs de recherche vers des liens malveillants qui peuvent délivrer des logiciels malveillants ou des escroqueries.
• Près de 270 000 pages web ont été signalées comme infectées entre mars et avril 2025, avec un pic majeur à la mi-avril.
• Un service distinct, HelloTDS, est utilisé pour rediriger conditionnellement les utilisateurs vers des arnaques telles que de fausses mises à jour de navigateur et des fraudes liées aux cryptomonnaies. Des experts en cybersécurité ont signalé une attaque à grande échelle infectant des sites web légitimes avec du code JavaScript caché. La campagne redirige activement les utilisateurs vers des pages dangereuses s’ils arrivent de moteurs de recherche populaires, augmentant le risque d’exposition à des logiciels malveillants ou à des escroqueries.

• Publicité - Une recherche de Palo Alto Networks Unit 42 a trouvé 269 552 pages web infectées par du JavaScript obfusqué entre le 26 mars et le 25 avril 2025. Un seul jour en avril a vu plus de 50 000 pages compromises. Le code non sécurisé repose sur une méthode connue sous le nom de “JSFuck”, une approche qui écrit des programmes en utilisant seulement quelques caractères pour rendre la détection et l’analyse plus difficiles.

Selon les chercheurs en sécurité Hardik Shah, Brad Duncan et Pranay Kumar Chhaparwal, l’équipe a observé que plusieurs sites contenaient du JavaScript malveillant utilisant une technique unique appelée JSFireTruck. Le code injecté vérifie si les visiteurs arrivent de moteurs de recherche comme Google, Bing, DuckDuckGo, Yahoo! ou AOL. Si c’est le cas, il les redirige vers des sites malveillants capables de livrer des logiciels malveillants, des kits d’exploitation ou des publicités frauduleuses. « L’obscurcissement du code cache son véritable but, entravant l’analyse », ont expliqué les auteurs. Les infections répandues suggèrent un effort coordonné pour utiliser de vrais sites comme outils pour de nouvelles attaques.

Le rapport souligne également l’émergence de “HelloTDS”, un service de distribution du trafic qui choisit quelle arnaque montrer à une victime en fonction des détails de son appareil. Gen Digital a décrit comment HelloTDS délivre de faux puzzles CAPTCHA, des arnaques de support technique, de faux mises à niveau de navigateur et des fraudes en cryptomonnaie en utilisant du code JavaScript hébergé sur des sites distants. Les victimes sont filtrées en utilisant des informations telles que leur emplacement, leur adresse IP et leur comportement de navigation. Si l’utilisateur ne correspond pas à des conditions d’attaque spécifiques, le code les dirige vers un contenu sûr.

Les chercheurs Vojtěch Krejsa et Milan Špinka ont noté que les attaquants déguisent souvent leur activité sur des sites de streaming, des plateformes de partage de fichiers ou par le biais de publicités malveillantes. Certains schémas utilisent des questions pièges pour inciter les utilisateurs à exécuter des logiciels nuisibles, comme PEAKLIGHT, qui est connu pour voler des informations sensibles.

L’infrastructure soutenant HelloTDS utilise principalement des domaines de premier niveau génériques tels que .top, .shop et .com pour héberger du code malveillant. Les campagnes intègrent des tactiques avancées telles que l’empreinte digitale du navigateur et le changement de domaines pour éviter la détection, rendant plus difficile le blocage des attaques par les outils de sécurité.

Pour plus d’informations, consultez l’analyse originale de Palo Alto Networks Unit 42 ici et les détails de Gen Digital sur HelloTDS ici. Des informations sur la technique JSFuck peuvent être trouvées à cette ressource.

• Publicité - #### Articles Précédents:

• Amazon, Walmart envisagent les stablecoins alors que le projet de loi GENIUS fait face à un vote au Sénat
• La cryptomonnaie devient courante : Casinos, paiements et croissance mondiale
• Le Bitcoin plonge après le conflit Israël-Iran, les marchés attendent une mise à jour de la Maison Blanche
• L’indice CoinDesk 20 baisse de 4,4 %, aucun actif dans le vert aujourd’hui
• Don Quijote Parent PPIH Lance une Obligation Numérique Axée sur la Jeunesse

• Publicité -