Les chercheurs en cybersécurité ont identifié une nouvelle vague dans la campagne Contagious Interview, dans laquelle les acteurs nord-coréens ont placé des douzaines de paquets malveillants dans l'enregistrement npm posant comme des outils utiles pour les développeurs. La stratégie combine typosquatting, exécution automatique pendant l'installation et une couche de désuscation basée sur la stéganographie de texte hébergée dans les services publics, ce qui rend difficile la détection automatique et l'examen manuel par les responsables et les utilisateurs.
La découverte a été documentée par l'équipe de Socket et le chercheur Kieran Miyamoto dans kmsec.uk. Vous pouvez lire le rapport technique de Socket ici: socket.dev - StegaBin et les recherches supplémentaires en kmsec. Ici : kmsec.uk - Stéganographie texte RPDC. Les deux analyses montrent un modèle répété : les paquets qui semblent être des librairies légitimes et qui déclarent des dépendances avec les bons noms pour donner un faux sentiment de confiance.
Les paquets identifiés comprenaient un fichier d'installation qui fonctionne automatiquement lorsque le paquet est installé dans un environnement de développement. Cet installateur charge à son tour un composant embarqué malveillant qui agit comme décodeur: il contacte les pâturages publics dans des services tels que Pastebin, traiter le contenu apparent - essais informatiques innocents - et reconstruire à partir de là la direction de l'infrastructure de commandement et de contrôle (C2). La technique utilise des substitutions en caractères et des marqueurs non visibles pour cacher des adresses dans le texte, une forme de stéganographie textuelle qui passe inaperçue pour la plupart des scanners automatiques et des revues de surface.
Une fois les adresses C2 récupérées, la chaîne d'attaque continue de contacter une infrastructure hébergée dans plusieurs déploiements de la plate-forme Vercel. Socket documente que les opérateurs ont utilisé plusieurs instances dans Vercel pour distribuer les charges de la prochaine étape, ajoutant la capacité de redondance et d'évitement. Vous pouvez consulter la documentation de Vercel comme référence pour les déploiements et l'hébergement ici: vercel.com / docs.
Les derniers artefacts téléchargés par la chaîne malveillante comprennent un trojan d'accès à distance (RAT) et plusieurs utilitaires spécifiquement destinés à capturer des secrets et des références de développeurs: la persistance au sein de Visual Studio Code à travers des tâches malveillantes. fichier json qui est activé par l'ouverture de projets, le keylogging et la capture de presse-papiers, le navigateur identifie les extensions de vol et de cryptomoneda, la numérisation des dépôts avec des outils légitimes pour extraire des secrets, et l'exfiltration des clés SSH et des fichiers pertinents de l'environnement de développement. Parmi ces outils, les attaquants téléchargent même l'utilitaire légitime TruffleHog de leur dépôt officiel pour accélérer la recherche de secrets; la page du projet est disponible dans GitHub: Sécurité des truffes / truffes.
Selon l'analyse, la RAT établit des connexions sortantes à des adresses IP et des ports spécifiques pour recevoir des commandes et projeter le contrôle en temps réel de l'équipement compromis. De là, vous pouvez exécuter des commandes, passer à travers le système de fichiers et planter des modules supplémentaires pour la persistance et l'exfiltration. Le résultat est une suite axée sur l'extraction de l'intelligence et des références qui sont particulièrement précieuses dans un contexte professionnel de développement de logiciels où les secrets et l'accès aux dépôts permettent souvent des pivots faciles à grande infrastructure.
L'utilisation combinée de typosquatting (noms de paquet qui imite les librairies connues), scripts qui s'exécutent lors de l'installation et la signalisation fiable à travers des dépendances valides est une recette conçue pour convaincre les développeurs imprévus. Pour cette raison, les rapports recommandent des précautions extrêmes en intégrant de nouveaux paquets, en examinant le contenu des scripts installés et en préférant les dépendances avec l'historique et la maintenance vérifiés. La plate-forme npm elle-même offre des guides de sécurité qui peuvent être trouvés dans sa documentation: docs.npmjs.com - Sécurité.
En plus de la technique de Pastebin, les chercheurs ont observé des tentatives parallèles où les opérateurs ont utilisé d'autres services publics, comme Google Drive, pour accueillir des charges de prochaine étape, ce qui met en évidence la polyvalence et les essais de vecteurs de livraison multiples par l'acteur. Une analyse de l'utilisation de Google Drive dans ces chaînes est disponible sur le blog kmsec: kmsec.uk - RPDC GDrive manager.
Que peuvent faire les équipes et les développeurs pour réduire les risques? Sans entrer dans des instructions techniques qui facilitent les abus, les bonnes pratiques passent par les unités d'audit, en appliquant des contrôles automatiques qui détectent les scripts d'installation, en utilisant des environnements de test isolés, en activant des politiques pour bloquer l'exécution de code inconnu et en examinant tout changement dans la configuration des IDE et des éditeurs - par exemple, si des tâches ou des extensions sont trouvées dans Visual Studio Code. Il est également recommandé de permettre la vérification des paquets et des signatures lorsque l'écosystème le permet.
Cette campagne montre une tendance inquiétante : les agresseurs ciblent de plus en plus les victimes techniques, profitant de la complexité du flux de développement et de la confiance dans les paquets tiers. La protection et la surveillance continues, ainsi qu'une culture de sécurité dans les équipes de développement, sont les meilleures défenses contre ces menaces sophistiquées. Pour comprendre plus en détail la portée et la méthodologie, examiner les rapports complets des entités qui ont suivi la campagne : l'analyse de Socket et les notes ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...