Pirates nord-coréens : 300 packages malicieux déployés

Avertissement : l'information présente dans ce guide ne constitue pas un conseil en investissement. Faites toujours vos propres recherches avant d'investir, et ne mettez pas en jeu une somme d'argent que vous ne pouvez pas vous permettre de perdre.
Pourquoi Nous Faire Confiance
Pourquoi Nous Faire Confiance
Pirates nord-coréens : 300 packages malicieux déployés

Il y a quelques semaines, une attaque “supply chain” avait mis en branle les chercheurs en cybersécurité crypto. Depuis, d’autres packages npm infectés ont été découverts. Mais, les informations mises en évidence par la firme de cybersécurité Socket apportent une meilleure lecture des faits.

Il apparaît que les pirates nord-coréens sont à l’origine de la majorité de ces compromissions. En effet, plus de 300 packages npm infectés ont été déployés en un temps record. Une campagne malicieuse de grande envergure qui cible les identifiants et les données de wallets crypto.

La supply chain logicielle, nouveau vecteur de prédilection des pirates nord-coréens ?

D’après les trouvailles de Socket, les pirates nord-coréens ont fait de la “supply chain”, leur vecteur d’attaque préféré. De mi-juillet à mi-octobre, la firme de cybersécurité a identifié plus de 338 packages malicieux qui ont déjà été téléchargés plus de 50 000 fois.

Pour la plupart, ces packages ont déjà été signalés et retirés de la circulation. Mais, la firme indique que 25 d’entre eux étaient encore en ligne. Pour opérer, les pirates nord-coréens ont utilisé près de 200 alias rattachés à des identités de contributeurs npm.

Chaque semaine, ce sont des nouveaux packages qui sont infectés. Et à chaque fois, ils deviennent plus sophistiqués et plus persistants dans leur mode d’attaque et d’offuscation.

À travers ces vagues de contamination de packages npm, les hackers nord-coréens cibleraient des crypto-enthousiastes, des développeurs blockchain et des professionnels tech à la recherche d’emplois. À travers des offres d’emploi factices, ils parviennent à infecter les périphériques de ces demandeurs d’emploi pour ensuite exécuter des attaques dévastatrices.

Hackeur nord-coréen

Une bataille de longue haleine

Comme l’indique Socket dans son rapport, de nouveaux packages infectés sont déployés chaque semaine. Même lorsque les packages infectés connus sont purgés, de nouveaux packages npm sont déployés sur la plateforme.

La meilleure façon de ralentir la propagation de ce type d’attaque est la sensibilisation des développeurs. Après tout, les packages npm sont utilisés dans le développement de sites web, d’applications diverses et même de wallets crypto.

Il y a donc un risque réel que les développeurs soient compromis ou que leurs projets soient infectés. Déjà, des professionnels tech partagent leurs expériences au sujet d’interviews pendant lesquels ils ont failli être infectés.

Drapeau Corée du Nord - DPRK
Source : Photo de Mike Bravo sur Unsplash

La piste nord-coréenne

L’analyse par Socket a permis d’identifier le modus operandi typique des pirates nord-coréens. Notamment l’utilisation de maliciels connus comme InvisibleFerret ou BeaverTail. Par-dessus tout, ces scripts s’exécutent dans la mémoire vive des appareils infectés et ne laissent que peu de traces sur les disques durs.

De même, la pratique qui consiste à cibler les demandeurs d’emploi via LinkedIn est une tactique déjà connue des pirates nord-coréens. Ceci dit, malgré la connaissance du mode opératoire, il n’est pas simple de reconnaître ou de se prémunir contre ces campagnes malicieuses.

Pour preuve, d’après les données d’Elliptic, les hackers nord-coréens ont déjà volé plus de 2 milliards $ depuis le début de l’année. Une statistique qui a déjà poussé les acteurs du Web3 à se liguer face aux risques de cybersécurité.

Par Marc Rodrigue

Arpentant le web depuis la fin des années 90 Marc Rodrigue a su développer une curiosité pour les nouvelles technologies le rendant passionné notamment de ces nouvelles monnaies numériques. Son but est simple : permettre à tout le monde de s'informer et d'apprendre davantage sur l'univers des crypto-monnaies.