La scène de sécurité informatique a été averti pendant des mois sur les campagnes de suprématie liées à des offres d'emploi, mais le dernier rapport public soulève la tromperie à une autre catégorie: attaquants non seulement fabriquer de fausses entreprises et annonces attrayantes pour les développeurs, mais construire des exercices techniques conçus pour la victime pour exécuter le code qui installe des logiciels malveillants. Selon ReversingLabs, une variation de cette arnaque - surnommée "Graphalgo" par les chercheurs - est en place depuis au moins mai 2025, et est spécifiquement dirigé sur les développeurs JavaScript et Python avec des tâches liées à cryptomoneda.
La stratégie est élégante et dangereuse: les opérateurs créent des identités d'entreprise dans le secteur du block et du trading, publient des offres et des tests techniques sur des plateformes publiques telles que LinkedIn, Facebook ou Reddit, puis demandent aux candidats de télécharger, exécuter ou déboguer un dépôt exemple pour démontrer leurs capacités. Ce dépôt apparemment innocent contient une dépendance qui pointe vers les paquets publiés dans les enregistrements officiels (npm et PyPI). Au lieu d'un code utile, ces unités fonctionnent comme des téléchargements qui installent un accès à distance trojan (RAT) dans la machine développeur.
Réverser Les laboratoires ont localisé un large ensemble: 192 paquets malveillants associée à la campagne, distribuée entre npm et PyPI. Dans certains cas, les paquets populaires étaient bénins dans les versions initiales et ont acquis des fonctionnalités malveillantes dans les mises à jour ultérieures; par exemple, ils mentionnent un paquet avec des milliers de téléchargements qui sont devenus hostiles dans la version 1.1.0 et peu de temps après il a été marqué "déprécié", une manœuvre pour rendre le suivi difficile.
Le nom Graphalgo vient de la récurrence de la chaîne "graph" dans de nombreux paquets, bien que les attaquants ont varié le nom de décembre 2025 pour publier des modules avec "grand" en leur nom. Les dépôts GitHub qui servent de façade sont généralement propres et normaux à première vue; l'infection vient grâce à des dépendances externes, ce qui complique la détection d'un candidat qui veut seulement démontrer sa capacité technique. Réverser Les laboratoires documentent également l'utilisation d'organisations à GitHub pour regrouper des projets, un autre signe que l'agresseur cherche à donner une apparence légitime et collaborative.
Le malware qui est livré par ces dépendances a des capacités typiques d'un backdoor: processus de liste, exécuter des commandes à distance selon les instructions de commande et de contrôle du serveur (C2), fichiers exfilter et télécharger des charges supplémentaires. Un détail révélateur est que le code inspecte la présence d'extensions de cryptopolite comme MetaMask dans le navigateur de l'utilisateur, ce qui indique clairement un objectif monétaire : voler des actifs numériques ou des identifiants associés.
L'architecture de campagne montre la modularité calculée : les paquets malveillants agissent comme des téléchargements légers qui apportent ensuite un RAT plus complet. Cette modularité facilite la réactivation même si certains composants sont détectés et retirés. Les chercheurs ont trouvé des variantes de logiciels malveillants écrits en JavaScript, Python et même VBS, cherchant à couvrir les environnements de développement modernes et les machines Windows avec différentes configurations.
Dans son attribution, ReversingLabs considère que le groupe Lazare - lié à la Corée du Nord - est le principal suspect avec une confiance moyenne à élevée. Le raisonnement est basé sur plusieurs éléments: le choix de la cible (acteurs liés à cryptomonedas), l'utilisation de défis d'encodage en tant que vecteur d'infection - technique observée dans les campagnes précédentes -, l'activation retardée du code malveillant dans certains paquets et métadonnées comme les timbres-temps des engagements dans GMT + 9. Pour ceux qui souhaitent comparer le contexte et le contexte de cet acteur, des organisations comme MITRE conservent des profils techniques de groupes de menaces reconnus : MITRE ATT & CK - Lazarus.
L'aspect le plus inquiétant est la facilité avec laquelle un développeur distrait peut devenir une victime: exécuter un test de code sur un ordinateur avec des permissions étendues ou avec des identifiants exposés peut être suffisant pour obtenir des portes de retour installés et perdre le contrôle des comptes et des clés. Réverser Les laboratoires ont même contacté plusieurs programmeurs tombés dans le piège pour mieux comprendre le flux de recrutement et l'exécution du code. Les indicateurs d'engagement (IoC) et les détails techniques sont disponibles dans le rapport initial des chercheurs pour ceux qui ont besoin de vérifier des paquets ou des artefacts spécifiques : Rapport de ReversingLabs.
Du point de vue de la gestion des risques et de l'hygiène numérique, l'affaire Graphalgo met à nouveau en lumière plusieurs réflexions pratiques pour les professionnels et les équipes qui consomment des dépendances tierces. Il ne suffit pas de croire qu'un paquet est dans un registre officiel; il faut revoir la chaîne d'approvisionnement, isoler l'exécution de code inconnu et maintenir des politiques strictes sur les privilèges et les jetons. GitHub et les plateformes d'enregistrement ont publié des guides et des outils pour renforcer la sécurité des logiciels de la chaîne d'approvisionnement: une lecture utile est la documentation de GitHub sur la manière de protéger cette chaîne d'approvisionnement ( Guide de sécurité GitHub), tandis que npm et PyPI maintiennent des pages contenant des politiques de sécurité et des recommandations pour les auteurs de paquets et les consommateurs ( Sécurité en npm, Sécurité dans PyPI).
Si vous pensez que vous auriez pu installer l'un des paquets mentionnés ou exécuter le code lié à une offre d'emploi suspecte, les mesures à prendre devraient être immédiates: révoquer tout jeton, modifier les mots de passe et les clés, revoir l'accès aux comptes d'échange ou portefeuille, et dans de nombreux cas réinstaller le système de zéro pour assurer la suppression complète des logiciels malveillants. Réverser Labs recommande explicitement ces mesures et publie IoC pour faciliter la médiation.
Au-delà de l'urgence technique, Graphalgo rappelle que l'ingénierie sociale a appris à exploiter les vecteurs collaboratifs modernes : un test technique bien conçu non seulement mesure les compétences, mais peut devenir un piège. Pour les développeurs et les gestionnaires de contrats, la leçon est claire : maintenir des processus d'entrevue qui n'exigent pas de réaliser des artefacts dans des environnements de production, préférer des exercices dans des environnements isolés et examiner des unités avec des outils d'analyse de la chaîne d'approvisionnement logicielle avant d'accepter tout code tiers.
Dans une image où les acteurs de l'État ont montré une tendance persistante à attaquer les actifs numériques, en particulier dans le monde critique, la combinaison de la supplantation d'identité, des paquets apparemment légitimes et de la persistance modulaire constitue une menace sophistiquée. Il est maintenant plus que jamais nécessaire de rester informé, d'appliquer de bonnes pratiques d'isolement et d'examen des unités et de suivre les guides de la plateforme pour ne pas devenir la voie d'entrée d'une attaque plus vaste.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...