N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust

2 minute de lecture

Mis à jour : April 08, 2026

Expansion de la campagne « Contagious Interview » : 1 700 paquets malveillants détectés

La campagne de cyberespionnage liée à la Corée du Nord, baptisée « Contagious Interview », s’est intensifiée avec la diffusion de plus de 1 700 paquets malveillants sur les écosystèmes npm, PyPI, Go, Rust et Packagist. Les attaquants, notamment le groupe UNC1069, utilisent ces bibliothèques pour infiltrer les environnements de développement à des fins d’espionnage et de gain financier.

Points clés :

Infiltration multi-écosystèmes : Les attaquants masquent des malwares dans des bibliothèques légitimes. Le code malveillant n’est pas déclenché à l’installation, mais lors de l’utilisation de fonctions spécifiques (ex: Logger::trace dans le paquet Rust logtrace), rendant la détection difficile.
Capacités des malwares : Les charges utiles permettent le vol de données (navigateurs, gestionnaires de mots de passe, cryptomonnaies) et agissent comme des chevaux de Troie d’accès distant (RAT). Certaines versions Windows installent des implants complets capables de keylogging, d’exécution de commandes shell et de déploiement d’outils d’accès distant (AnyDesk).
Ingénierie sociale : Parallèlement, le groupe utilise de faux liens de réunions (Microsoft Teams, Zoom) pour infecter les cibles via des tactiques de type « ClickFix », maintenant une présence dormante prolongée pour maximiser l’exfiltration de données.

Vulnérabilités :

Aucun identifiant CVE spécifique n’a été attribué, car il s’agit d’une campagne de compromission de la chaîne d’approvisionnement (Supply Chain Attack). Le risque réside dans l’intégration de dépendances malveillantes (typosquatting ou impersonation) dans le code source.

Recommandations :

Audit des dépendances : Vérifier systématiquement les noms et sources des paquets utilisés dans les projets. Les développeurs doivent se méfier des bibliothèques récemment publiées ou présentant des noms très proches de paquets officiels.
Sécurisation des accès : Appliquer une vigilance stricte face aux liens reçus via des messageries professionnelles (Slack, LinkedIn, Telegram), même s’ils semblent provenir de contacts connus ou de marques crédibles.
Surveillance post-compromission : Mettre en œuvre des solutions de surveillance comportementale sur les postes de travail des développeurs pour détecter des comportements anormaux (exécution de scripts, installations non autorisées d’outils de contrôle distant, accès non sollicités aux dossiers système).
Gestion des mises à jour : Maintenir une politique de mise à jour des paquets via des dépôts privés vérifiés ou des outils d’analyse de vulnérabilités (SCA - Software Composition Analysis) pour bloquer les composants suspects.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust

Expansion de la campagne « Contagious Interview » : 1 700 paquets malveillants détectés

Partager sur

Vous pourriez aimer

TeamPCP Supply Chain Campaign: Update 007 - Cisco Source Code Stolen via Trivy-Linked Breach, Google GTIG Tracks TeamPCP as UNC6780, and CISA KEV Deadline Arrives with No Standalone Advisory, (Wed, Apr 8th)

Campagne de supply chain TeamPCP (UNC6780) : Analyse et État des Lieux

Snowflake customers hit in data theft attacks after SaaS integrator breach

Compromission de la chaîne d’approvisionnement : Fuites de données via Anodot

Shrinking the IAM Attack Surface through Identity Visibility and Intelligence Platforms (IVIP)

Réduire la surface d’attaque IAM par l’observabilité des identités

Python Supply-Chain Compromise

Compromission de la chaîne d’approvisionnement Python : Le cas LiteLLM