Un nouveau rapport de renseignement a de nouveau mis sur la table une menace persistante et sophistiquée qui combine ingénierie sociale, abus des outils de développement et avoirs dans la chaîne d'approvisionnement des logiciels. Selon les données partagées par Avenir enregistré, une opération suivie dans le cadre de l'appel PurpleBravo aurait signalé des milliers d'adresses IP et des dizaines d'entreprises sur plusieurs continents, en utilisant de fausses offres d'emploi et des projets de développement engagés comme des leurres pour déployer des logiciels malveillants.
Les résultats décrivent que 3.136 adresses IP individuelles ont été liés aux objectifs potentiels de cette activité entre août 2024 et septembre 2025, et que la campagne a prétendu avoir ciblé une douzaine d'organisations dans des secteurs allant de l'intelligence artificielle et de cryptomonédas aux services financiers, au marketing et au développement de logiciels. Les victimes identifiées sont distribuées par des pays tels que la Belgique, l'Inde, l'Italie, le Pakistan, la Roumanie, les Émirats arabes unis et le Vietnam, ce qui met en évidence la portée transnationale de l'acteur.
La pertinence de cette opération n'est pas seulement la quantité de machines potentiellement affectées, mais la tactique utilisée : de faux profils dans les réseaux professionnels et les dépôts malveillants qui traversent des projets légitimes de Visual Studio Code ou GitHub. Enquêtes sur les signatures de sécurité, y compris les publications Laboratoires de menace Jamf, ont montré comment les attaquants insèrent backdoors et chargeurs dans des paquets que les développeurs pourraient cloner et exécuter en faisant confiance qu'ils viennent de sources fiables. De cette façon, les flux de travail standard de développement sont utilisés pour introduire des logiciels malveillants sans le besoin de vulnérabilités traditionnelles.
Les familles de malwares liées à la campagne comprennent les voleurs d'informations et les portes arrière écrites en différentes langues, y compris un infostealer JavaScript connu sous le nom de BeaverTail et une porte arrière développé dans Go - surnommé GolangGhost ou des variantes similaires - qui réutilise les composants d'outils open source pour voler des identifiants et des données exfilter. Les serveurs de commande et de contrôle associés (C2) ont été hébergés dans plusieurs fournisseurs et gérés par le biais du VPN Astrill, un schéma d'infrastructure qui a déjà été observé dans des activités malveillantes attribuées aux acteurs nord-coréens.
En plus de la distribution de logiciels malveillants à travers des dépôts, l'opération a combiné le faux recrutement avec des tests de code: les candidats contactés par les attaquants ont effectué des exercices techniques sur les appareils d'entreprise, qui ont dans de nombreux cas impliqué l'exécution de code malveillant sur les équipes de la société contractante. L'effet secondaire est évident : le risque n'est plus limité à la personne qui reçoit l'offre, mais s'étend aux clients et aux partenaires de l'organisation concernée, créant ainsi un vecteur d'engagements dans la chaîne d'approvisionnement logicielle.
Ce mode de fonctionnement complète une autre ligne d'activité connue depuis des années : l'insertion de travailleurs nord-coréens de l'informatique sous de fausses identités pour accéder à des organisations à l'étranger, à des fins d'espionnage et de profit. Bien que les deux fronts - les emplois frauduleux et les campagnes d'approvisionnement en logiciels engagées - soient traités séparément, la recherche met en évidence des chevauchements importants dans les tactiques, les infrastructures et les opérateurs, ce qui complique l'attribution et multiplie l'impact potentiel lors de la convergence.
Pour les entreprises qui sous-traitent le développement ou la maintenance d'équipements distribués, la leçon est claire et urgente. Il ne suffit pas de se fier à la provenance apparente d'un dépôt ou à la véracité d'une offre d'emploi vérifiée superficiellement.. Revoir les pipelines d'intégration, imposer des restrictions à l'exécution de codes sur les dispositifs d'entreprise et séparer les environnements d'évaluation technique de ceux qui ont accès à des environnements productifs sont des mesures qui devraient être intégrées dans les politiques de sécurité dès que possible. Agences officielles telles que CISA et cadres tels que MITRE ATT & CK fournir des ressources et des références pour comprendre les tactiques et atténuer les risques liés aux campagnes de menaces persistantes.
Il convient également de rappeler que les attaquants exploitent la confiance : un projet populaire de Visual Studio Code, un paquet d'exemples ou un défi technique peuvent sembler inoffensifs, mais une seule exécution imprudente peut ouvrir une porte au réseau d'entreprise. Les bonnes pratiques comprennent la validation stricte des dépendances, le blocage des scripts non signés dans les machines d'entreprise, l'utilisation d'environnements d'essai isolés et la formation continue pour les équipes de recrutement et les ressources humaines, car elles sont les plus en interaction avec les candidats externes.
Au niveau opérationnel, la diversification des contrôles - détection des paramètres, surveillance du trafic vers des infrastructures suspectes, listes de blocs et segmentation du réseau - réduit la probabilité qu'une seule erreur entraîne un écart plus important. Et au niveau stratégique, les organisations devraient prendre en considération le risque posé par un grand fournisseur basé sur la clientèle dans les régions où ces campagnes mènent leurs campagnes, car une infraction à la chaîne d'approvisionnement peut multiplier les conséquences.
Les incidents qui combinent ingénierie sociale, abus des plates-formes de développement et utilisations créatives d'infrastructures telles que le VPN commercial sont complexes et nécessitent des réponses tout aussi multidisciplinaires. Rapports tels que Avenir enregistré et publications de laboratoires de menaces tels que Jambe Ils aident à comprendre le paysage et à prioriser les défenses, mais la mise en œuvre revient à chaque organisation : il n'y a pas de remède unique, mais le besoin de couches combinées de prévention, de détection et de réponse.
Bref, la campagne Contagious Interview et les opérations connexes montrent comment les acteurs ayant des motivations diverses peuvent tirer parti à la fois de nouvelles techniques et de pratiques humaines prévisibles. La sécurité des logiciels et des processus d ' achat devrait être traitée comme un tout intégré, et l'équipement technique et les secteurs d'activité doivent être coordonnés afin de réduire les opportunités de ces agresseurs. Pour être à jour, il est toujours recommandé de consulter des sources spécialisées et de mettre à jour les politiques sur la base de nouveaux rapports publics.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...