Les chercheurs en cybersécurité ont soulevé l'alarme pour une campagne coordonnée qui utilise les dépôts publics de paquets - npm et PyPI - comme vecteur pour engager les développeurs et les candidats à l'emploi dans le secteur critique. L'opérateur, tracé sous le nom de code stapalgo, utilise une tactique qui combine l'ingénierie sociale et l'empoisonnement de la chaîne d'approvisionnement: offres d'emploi, profils et dépôts d'évaluation technique apparemment légitimes sont créés de sorte que ceux qui appliquent finissent par exécuter des projets qui dépendent de paquets malveillants logés dans des dossiers publics.
Selon l'analyse publiée par ReversingLabs, la campagne a débuté vers mai 2025 et est liée à un acteur ayant des liens avec la Corée du Nord connu sous le nom de Lazarus Group. Les attaquants montent toute la chorégraphie nécessaire pour paraître crédible : ils créent des entreprises fictives axées sur le trading de blockchain et de cryptomoneda, enregistrent des domaines, gèrent des organisations à GitHub et publient des exercices techniques présumés. Dans de nombreux cas, ils contactent les candidats par LinkedIn ou par les groupes Facebook et Reddit pour les attirer à participer aux processus de sélection. Vous pouvez lire le rapport ReversingLabs ici: Réverser Labs - Campagne de faux recruteurs.
L'astuce est au point où le candidat clone et exécute le dépôt d'évaluation: ces projets ne contiennent pas de code malveillant évident, mais ils dépendent des paquets publiés dans npm ou PyPI qui sont. Lorsque le développeur installe des dépendances, il finit par apporter avec lui un Trojan d'accès à distance (RAT) qui est enregistré avec un serveur de commande et de contrôle (C2). Le malware implémenté vous permet de collecter des informations système, de lister des fichiers, de gérer des processus, de déplacer et d'exfilter des fichiers, et même de vérifier la présence d'extensions de billettes comme MetaMask - un indice que l'objectif ultime inclut la suppression des actifs et des identifiants liés à cryptomoneda.
Un aspect technique frappant de cette RAT est son mécanisme de communication avec le C2 : il envoie d'abord les données du système dans le cadre d'une étape d'enregistrement et reçoit en retour un jeton. Ce jeton protège les requêtes ultérieures afin que seuls les clients enregistrés et autorisés puissent échanger des commandes. Réverser Labs souligne que cette technique de tokenisation n'est pas courante dans les paquets malveillants envoyés aux dépôts publics et coïncide avec les tactiques observées lors de campagnes antérieures attribuées à des groupes nord-coréens, comme la famille Jade Sleet / UNC4899.
Ce n'est pas un phénomène isolé au sein de l'écosystème npm. JFrog a décrit une autre menace sophistiquée dans un paquet appelé « dori-js » contenant un info-stealer connu sous le nom de Bada Stealer. Ce malware est capable d'extraire des jetons de Discord, des identifiants, des cookies et des données de navigateur auto-complètes basés sur Chrome, ainsi que des informations de cryptomonedas, et d'exfiltrer ces données au moyen d'un webhold Discord et de stockage dans des services tiers. De plus, la charge secondaire de ce paquet est greffée pour persister au début de l'application Discord de bureau, en profitant de l'environnement Electron, selon l'analyse de JFrog: JFrog Recherche - dortoir- js.
En parallèle, une campagne différente a été détectée qui abuse du flux d'installation lui-même pour extorquer : nommé XPACK ATTACK par OpenSource Malware, cette technique bloque l'installation en faisant croire au développeur qu'il a atteint une passerelle légitime, en utilisant le code de statut HTTP 402 ("Paiement Requis") comme subterfuge. L'installation est interrompue jusqu'à ce que la victime paie une petite somme en cryptomoneda; si elle ne paie pas, le processus échoue simplement après avoir consommé des minutes précieuses du développeur, tout pendant que l'attaquant recueille des traces de l'appareil et des noms d'utilisateurs GitHub. Plus d'informations techniques sur cette campagne sont disponibles dans le rapport OpenSourceMalware et dans l'explication du code 402 dans MDN: OpenSource et MDN - HTTP 402.
Ces incidents rappellent que la sécurité du développement ne se limite plus à son propre code : les unités tierces et les flux de recrutement peuvent être des vecteurs directs d'intrusions complexes et ciblées. Lorsque la cible est un professionnel de l'écosystème critique, l'intérêt de l'attaquant va souvent au-delà de l'espionnage technique et est également orienté vers le profit direct par le vol de lettres de créances et de fonds. Les chercheurs soulignent la modularité et la patience de ces acteurs : ils renforcent la confiance pendant des semaines ou des mois, utilisent plusieurs fronts et chiffrent leurs composants pour rendre l'analyse difficile.
Que peuvent faire les développeurs et les responsables de la sécurité? Une attitude critique à l'égard des nouveaux dépôts et paquets publiés devrait être maintenue, en particulier lorsqu'ils apparaissent dans le contexte de tests techniques ou de processus de sélection. Les outils d'analyse d'unité, les signatures de paquets, le blocage de la version de fichier verrouillable, l'exécution dans des environnements isolés (machines virtuelles, conteneurs ou bacs à sable) et l'examen du responsable sont des pratiques qui réduisent le risque d'exécution de code malveillant. Il est également utile d'intégrer la numérisation automatique des appareils dans la chaîne CI / CD et de comprendre les capacités de sécurité offertes par les enregistrements eux-mêmes; PyPI et npm ont la documentation et les mécanismes de sécurité qui devraient être connus: PyPI - Sécurité et npm - Docs. GitHub, pour sa part, a développé des guides et des outils pour protéger la chaîne d'approvisionnement logicielle : GitHub - Sécurité de la chaîne logistique.
La leçon la plus complète est institutionnelle : la communauté open source et les plateformes de paquetage doivent continuer à améliorer les contrôles pour détecter et bloquer les acteurs qui tentent d'abuser de l'écosystème. Dans le même temps, les entreprises et les recruteurs légitimes doivent adopter des pratiques pour vérifier l'identité et les processus de sélection afin que les candidats et les développeurs ne finissent pas par exécuter des artefacts dans des environnements de production à partir de leurs machines personnelles. Pendant ce temps, la prudence et la stricte séparation entre les environnements de travail et de test resteront la première ligne de défense contre les campagnes qui combinent l'ingénierie sociale avec des logiciels malveillants de plus en plus sophistiqués.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...