{"id":12329,"date":"2025-10-16T15:30:47","date_gmt":"2025-10-16T15:30:47","guid":{"rendered":"https:\/\/icobench.com\/fr\/?p=12329"},"modified":"2025-10-20T18:19:14","modified_gmt":"2025-10-20T18:19:14","slug":"pirates-nord-coreens-300-packages-malicieux-deployes","status":"publish","type":"post","link":"https:\/\/icobench.com\/fr\/news\/pirates-nord-coreens-300-packages-malicieux-deployes\/","title":{"rendered":"Pirates nord-cor\u00e9ens : 300 packages malicieux d\u00e9ploy\u00e9s"},"content":{"rendered":"
Il y a quelques semaines, une attaque \u201csupply chain\u201d<\/strong> avait mis en branle les chercheurs en cybers\u00e9curit\u00e9 crypto. Depuis, d\u2019autres packages npm infect\u00e9s<\/strong> ont \u00e9t\u00e9 d\u00e9couverts. Mais, les informations mises en \u00e9vidence par la firme de cybers\u00e9curit\u00e9 Socket<\/strong> apportent une meilleure lecture des faits.<\/p>\n Il appara\u00eet que les pirates nord-cor\u00e9ens sont \u00e0 l\u2019origine de la majorit\u00e9 de ces compromissions. En effet, plus de 300 packages npm infect\u00e9s ont \u00e9t\u00e9 d\u00e9ploy\u00e9s<\/strong> en un temps record. Une campagne malicieuse de grande envergure qui cible les identifiants et les donn\u00e9es de wallets crypto<\/strong>.<\/p>\n D\u2019apr\u00e8s les trouvailles de Socket<\/a>, les pirates nord-cor\u00e9ens ont fait de la \u201csupply chain\u201d, leur vecteur d\u2019attaque pr\u00e9f\u00e9r\u00e9. De mi-juillet \u00e0 mi-octobre, la firme de cybers\u00e9curit\u00e9 a identifi\u00e9 plus de 338 packages malicieux qui ont d\u00e9j\u00e0 \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s plus de 50 000 fois<\/strong>.<\/p>\n Pour la plupart, ces packages ont d\u00e9j\u00e0 \u00e9t\u00e9 signal\u00e9s et retir\u00e9s de la circulation. Mais, la firme indique que 25 d\u2019entre eux \u00e9taient encore en ligne<\/strong>. Pour op\u00e9rer, les pirates nord-cor\u00e9ens ont utilis\u00e9 pr\u00e8s de 200 alias<\/strong> rattach\u00e9s \u00e0 des identit\u00e9s de contributeurs npm.<\/p>\n Chaque semaine, ce sont des nouveaux packages qui sont infect\u00e9s. Et \u00e0 chaque fois, ils deviennent plus sophistiqu\u00e9s et plus persistants dans leur mode d\u2019attaque et d\u2019offuscation<\/strong>.<\/p>\n \u00c0 travers ces vagues de contamination de packages npm, les hackers nord-cor\u00e9ens cibleraient des crypto-enthousiastes, des d\u00e9veloppeurs blockchain et des professionnels tech \u00e0 la recherche d\u2019emplois. \u00c0 travers des offres d\u2019emploi factices<\/a>, ils parviennent \u00e0 infecter les p\u00e9riph\u00e9riques de ces demandeurs d\u2019emploi pour ensuite ex\u00e9cuter des attaques d\u00e9vastatrices<\/strong>.<\/p>\n Comme l\u2019indique Socket dans son rapport, de nouveaux packages infect\u00e9s sont d\u00e9ploy\u00e9s chaque semaine<\/strong>. M\u00eame lorsque les packages infect\u00e9s connus sont purg\u00e9s, de nouveaux packages npm<\/a> sont d\u00e9ploy\u00e9s sur la plateforme.<\/p>\n La meilleure fa\u00e7on de ralentir la propagation de ce type d\u2019attaque est la sensibilisation des d\u00e9veloppeurs<\/strong>. Apr\u00e8s tout, les packages npm sont utilis\u00e9s dans le d\u00e9veloppement de sites web, d\u2019applications diverses et m\u00eame de wallets crypto<\/strong>.<\/p>\n Il y a donc un risque r\u00e9el que les d\u00e9veloppeurs soient compromis ou que leurs projets soient infect\u00e9s. D\u00e9j\u00e0, des professionnels tech partagent leurs exp\u00e9riences<\/a> au sujet d\u2019interviews pendant lesquels ils ont failli \u00eatre infect\u00e9s.<\/p>\n L\u2019analyse par Socket a permis d\u2019identifier le modus operandi typique des pirates nord-cor\u00e9ens<\/a>. Notamment l\u2019utilisation de maliciels connus comme InvisibleFerret<\/strong> ou BeaverTail<\/strong>. Par-dessus tout, ces scripts s\u2019ex\u00e9cutent dans la m\u00e9moire vive des appareils infect\u00e9s<\/strong> et ne laissent que peu de traces sur les disques durs.<\/p>\n De m\u00eame, la pratique qui consiste \u00e0 cibler les demandeurs d\u2019emploi via LinkedIn est une tactique d\u00e9j\u00e0 connue des pirates nord-cor\u00e9ens<\/strong>. Ceci dit, malgr\u00e9 la connaissance du mode op\u00e9ratoire, il n\u2019est pas simple de reconna\u00eetre ou de se pr\u00e9munir contre ces campagnes malicieuses.<\/p>\nLa supply chain logicielle, nouveau vecteur de pr\u00e9dilection des pirates nord-cor\u00e9ens ?<\/span><\/h2>\n
<\/p>\nUne bataille de longue haleine<\/span><\/h2>\n

La piste nord-cor\u00e9enne<\/span><\/h2>\n