🎯 Contagious Interview 2.0 : Pyongyang hacke tes devs
 pas gentiment

“Cherchez toujours la nouvelle tendance du recrutement.” – Recruteur LinkedIn
“Ou ton projet qui hacke tes devs avec un keylogger.” – DĂ©veloppeur parano

🧹 Aperçu : parce que le monde avait besoin d’un plan B

Imagine : un recruteur LinkedIn te contacte, MP surchargĂ©, salaire mirobolant entre 192 000 $ et 300 000 $ – ouais, tu te dis “why not ?”. Sauf que derriĂšre, c’est pas une offre bienveillante, mais un package npm contaminé que tu tĂ©lĂ©charges comme un dev innocent. Bienvenue dans Contagious Interview, la suite croustillante orchestrĂ©e par la Lazarus Group – l’orchestre Ă©tatique nord-corĂ©en des vilains numĂ©riques.

📩 35 paquets npm malfaisants

Socket (ces chercheurs perspicaces) ont trouvé 35 paquets npm distribuĂ©s via 24 faux comptes – accrochĂ©s Ă  des noms de packages semblables : react-plaid-sdk, vite-plugin-next-refresh, router-parse, node-orm-mongoose
 en tout 35 boulets dĂ©guisĂ©s en dĂ©pendances innocentes thehackernews.

Avec plus de 4 000 tĂ©lĂ©chargements, ça semble peu, mais les six paquets encore actifs (react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, vite-loader-svg, node-orm-mongoose, router-parse) continuent de couler leurs filets.

🎭 La stratĂ©gie en trois actes

  1. HexEval : un chargeur initial hybride (JavaScript hex-encodé), furtif pour tromper les scanners statiques.
  2. BeaverTail : un voleur d’infos JavaScript, prĂȘt Ă  aspirer cookies, sessions, clĂ©s, fichiers locaux.
  3. InvisibleFerret : backdoor Python pour un accÚs persistant et furtif.

“Cette structure poupĂ©e russe permet d’échapper aux scanners basiques” – Kirill Boychenko de Socket.

Et cerise sur le gĂąteau : un keylogger cross-plateforme se cache parfois dans un des paquets, au cas oĂč ils voudraient surveiller plus d’un formulaire. Ah, le romantisme du monde cybernĂ©tique .

đŸ€Ż MĂ©thode d’infection

  • Le dev reçoit un message prometteur d’un recruteur LinkedIn.
  • Il clique, clone le repo (GitHub, Bitbucket), exĂ©cute npm install.
  • Bam : HexEval se charge, active BeaverTail, puis InvisibleFerret.
  • RĂ©sultat : collecte de clĂ©s, sessions, monnaies crypto, accĂšs backdoor. Et tout ça, trĂšs discrĂštement.

🎯 Pourquoi c’est aussi dangereux

  • Typosquatting ultra ciblé : Copier subtilement un nom de package lĂ©gitime, miser sur l’inattention des devs.
  • Ciblage via OSINT : ils savent Ă  qui ils parlent : dev JS, crypto, start-up
 les bons profils .
  • Approche multi-Ă©tapes : rendant les dĂ©tections classiques quasi inutiles, infiltration discrĂšte et Ă©volutive.
  • Motivation Ă©tatique : financements illicites en crypto, espionnage techno, payloads personnalisĂ©s, coffres Ă  info gigantesques .

🚹 Et vous, vous risquez quoi ?

  • Mauvaise surprise dans CI/CD : code de production backdoorĂ©.
  • ClĂ©s de prod exposĂ©es : le rĂȘve de tout attaquant.
  • Comptes dev compromis : injection post-commit, builds infectĂ©s.
  • Vol de credentials : cookies, sessions, wallets

  • PrĂ©sence persistante : InvisibleFerret attend dans l’ombre pour revenir Ă  tout instant.

🔧 Que faire – les gestes salvateurs

1. Scanner toutes les dĂ©pendances

Utilise des outils comme npm audit avancé, Snyk, Dependabot, et bloque tout package inconnu ou récent.

2. Examen manuel obligatoire

Tu vas publier un package critique ? Rends-toi au code source, compare SHA, cherche des fichiers suspects comme hexeval, invisibleFerret, BeaverTail


3. Isolation des builds

ExĂ©cute invalidation npm install dans un container, sandbox, ou CI dĂ©diĂ©, sĂ©parĂ© de ton environnement perso.

4. MFA + surveillance

Active l’authentification Ă  facteur multiple partout (GitHub, npm, CI/CD), et scrute activement la tĂ©lĂ©metrie pour repĂ©rer les accĂšs suspects.

5. Sensibiliser les Ă©quipes

Formations réguliÚres via phishing simulé, alertes push à chaque nouveau npm avec plus que 0 download, dramatisation.

6. Revue des accĂšs secrets

Réinitialise clés, tokens, secrets exposés au moindre doute, limite les accÚs (principe du moindre privilÚge), audits fréquents.

đŸ’„ En rĂ©sumĂ©

North Korea + open source + devs = le nouveau combo gagnant. Pendant qu’on rĂȘve d’IA et de dev cloud, Pyongyang s’infiltre sur Node, savamment, par la chaĂźne d’approvisionnement. Et chaque npm install devient un risque.

Alors, devs, prenez vos lunettes anti-typosquat, mettez des scanners frontaux, entraĂźnez vos Ă©quipes et battez-vous pour chaque SHA, chaque hash, chaque dĂ©pendance. Parce que les nouveaux entretiens d’embauche passent dĂ©sormais par l’accĂšs Ă  vos machines.

Sources sur l’attaque npm nord‑corĂ©enne : Lien The Hackernews

🎯 Contagious Interview 2.0 : Pyongyang hacke tes devs
 pas gentiment
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut