🎯 Contagious Interview 2.0 : Pyongyang hacke tes devs… pas gentiment

“Cherchez toujours la nouvelle tendance du recrutement.” – Recruteur LinkedIn
“Ou ton projet qui hacke tes devs avec un keylogger.” – Développeur parano

🧨 Aperçu : parce que le monde avait besoin d’un plan B

Imagine : un recruteur LinkedIn te contacte, MP surchargé, salaire mirobolant entre 192 000 $ et 300 000 $ – ouais, tu te dis “why not ?”. Sauf que derrière, c’est pas une offre bienveillante, mais un package npm contaminé que tu télécharges comme un dev innocent. Bienvenue dans Contagious Interview, la suite croustillante orchestrée par la Lazarus Group – l’orchestre étatique nord-coréen des vilains numériques.

📦 35 paquets npm malfaisants

Socket (ces chercheurs perspicaces) ont trouvé 35 paquets npm distribués via 24 faux comptes – accrochés à des noms de packages semblables : react-plaid-sdk, vite-plugin-next-refresh, router-parse, node-orm-mongoose… en tout 35 boulets déguisés en dépendances innocentes thehackernews.

Avec plus de 4 000 téléchargements, ça semble peu, mais les six paquets encore actifs (react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, vite-loader-svg, node-orm-mongoose, router-parse) continuent de couler leurs filets.

🎭 La stratégie en trois actes

1. HexEval : un chargeur initial hybride (JavaScript hex-encodé), furtif pour tromper les scanners statiques.
2. BeaverTail : un voleur d’infos JavaScript, prêt à aspirer cookies, sessions, clés, fichiers locaux.
3. InvisibleFerret : backdoor Python pour un accès persistant et furtif.

“Cette structure poupée russe permet d’échapper aux scanners basiques” – Kirill Boychenko de Socket.

Et cerise sur le gâteau : un keylogger cross-plateforme se cache parfois dans un des paquets, au cas où ils voudraient surveiller plus d’un formulaire. Ah, le romantisme du monde cybernétique .

🤯 Méthode d’infection

• Le dev reçoit un message prometteur d’un recruteur LinkedIn.
• Il clique, clone le repo (GitHub, Bitbucket), exécute npm install.
• Bam : HexEval se charge, active BeaverTail, puis InvisibleFerret.
• Résultat : collecte de clés, sessions, monnaies crypto, accès backdoor. Et tout ça, très discrètement.

🎯 Pourquoi c’est aussi dangereux

• Typosquatting ultra ciblé : Copier subtilement un nom de package légitime, miser sur l’inattention des devs.
• Ciblage via OSINT : ils savent à qui ils parlent : dev JS, crypto, start-up… les bons profils .
• Approche multi-étapes : rendant les détections classiques quasi inutiles, infiltration discrète et évolutive.
• Motivation étatique : financements illicites en crypto, espionnage techno, payloads personnalisés, coffres à info gigantesques .

🚨 Et vous, vous risquez quoi ?

• Mauvaise surprise dans CI/CD : code de production backdooré.
• Clés de prod exposées : le rêve de tout attaquant.
• Comptes dev compromis : injection post-commit, builds infectés.
• Vol de credentials : cookies, sessions, wallets…
• Présence persistante : InvisibleFerret attend dans l’ombre pour revenir à tout instant.

🔧 Que faire – les gestes salvateurs

1. Scanner toutes les dépendances

Utilise des outils comme npm audit avancé, Snyk, Dependabot, et bloque tout package inconnu ou récent.

2. Examen manuel obligatoire

Tu vas publier un package critique ? Rends-toi au code source, compare SHA, cherche des fichiers suspects comme hexeval, invisibleFerret, BeaverTail…

3. Isolation des builds

Exécute invalidation npm install dans un container, sandbox, ou CI dédié, séparé de ton environnement perso.

4. MFA + surveillance

Active l’authentification à facteur multiple partout (GitHub, npm, CI/CD), et scrute activement la télémetrie pour repérer les accès suspects.

5. Sensibiliser les équipes

Formations régulières via phishing simulé, alertes push à chaque nouveau npm avec plus que 0 download, dramatisation.

6. Revue des accès secrets

Réinitialise clés, tokens, secrets exposés au moindre doute, limite les accès (principe du moindre privilège), audits fréquents.

💥 En résumé

North Korea + open source + devs = le nouveau combo gagnant. Pendant qu’on rêve d’IA et de dev cloud, Pyongyang s’infiltre sur Node, savamment, par la chaîne d’approvisionnement. Et chaque npm install devient un risque.

Alors, devs, prenez vos lunettes anti-typosquat, mettez des scanners frontaux, entraînez vos équipes et battez-vous pour chaque SHA, chaque hash, chaque dépendance. Parce que les nouveaux entretiens d’embauche passent désormais par l’accès à vos machines.

Sources sur l’attaque npm nord‑coréenne : Lien The Hackernews

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com