Cyberattaque ciblant la chaîne d’approvisionnement logicielle
Une entreprise de cybersécurité américaine a révélé que des hackers nord-coréens ont détourné l’une des bibliothèques logicielles les plus utilisées au monde pour en faire un vecteur de distribution de logiciels malveillants. Dans un rapport publié la semaine dernière, des chercheurs de Socket, une société spécialisée dans la sécurité de la chaîne d’approvisionnement, ont annoncé avoir identifié plus de 300 paquets de code malveillant téléchargés sur le registre npm, un dépôt central utilisé par des millions de développeurs pour partager et installer des logiciels JavaScript.
Ces paquets, qui sont de petits morceaux de code réutilisables utilisés dans tout, des sites web aux applications de cryptomonnaies, étaient conçus pour sembler inoffensifs. Cependant, une fois téléchargés, ils installaient des logiciels malveillants capables de voler des mots de passe, des données de navigateur et des clés de portefeuille de cryptomonnaies.
Opération « Contagious Interview »
Socket a indiqué que cette campagne, qu’elle a nommée « Contagious Interview », faisait partie d’une opération sophistiquée orchestrée par des hackers soutenus par l’État nord-coréen, qui se font passer pour des recruteurs technologiques afin de cibler les développeurs travaillant dans la blockchain, le Web3 et des secteurs connexes.
« npm est essentiellement la colonne vertébrale du web moderne. Le compromettre permet aux attaquants d’insérer du code malveillant dans d’innombrables applications en aval. »
Les experts en sécurité avertissent depuis des années que de telles attaques de chaîne d’approvisionnement logicielle sont parmi les plus dangereuses dans le cyberespace, car elles se propagent de manière invisible à travers des mises à jour et des dépendances légitimes.
Techniques et impacts
Les chercheurs de Socket ont retracé la campagne à travers un groupe de noms de paquets similaires, notamment des versions mal orthographiées de bibliothèques populaires telles qu’express, dotenv et hardhat, ainsi que des motifs de code associés à des familles de logiciels malveillants nord-coréens précédemment identifiés, connus sous les noms de BeaverTail et InvisibleFerret.
Les attaquants ont utilisé des scripts « loader » cryptés qui décryptaient et exécutaient des charges utiles cachées directement en mémoire, laissant peu de traces sur le disque. La société a rapporté qu’environ 50 000 téléchargements des paquets malveillants avaient eu lieu avant que beaucoup ne soient supprimés, bien que certains restent encore en ligne.
Les hackers ont également utilisé de faux comptes de recruteurs sur LinkedIn, une tactique qui s’inscrit dans la continuité des précédentes campagnes d’espionnage cybernétique de la RPDC, documentées par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et rapportées dans Decrypt.
Réponses et recommandations
Les enquêteurs estiment que les cibles ultimes étaient des machines détenant des identifiants d’accès et des portefeuilles numériques. Bien que les conclusions de Socket soient en accord avec les rapports d’autres groupes de sécurité et d’agences gouvernementales liant la Corée du Nord à des vols de cryptomonnaies totalisant des milliards de dollars, la vérification indépendante de chaque détail, comme le nombre exact de paquets compromis, reste en attente.
Néanmoins, les preuves techniques et les motifs décrits sont cohérents avec des incidents antérieurs attribués à Pyongyang. Le propriétaire de npm, GitHub, a déclaré qu’il supprimait les paquets malveillants dès leur découverte et qu’il renforçait les exigences de vérification des comptes.
Cependant, les chercheurs soulignent que ce processus ressemble à un jeu de whack-a-mole : retirer un ensemble de paquets malveillants entraîne rapidement l’apparition de centaines d’autres. Pour les développeurs et les startups de cryptomonnaies, cet épisode met en lumière la vulnérabilité croissante de la chaîne d’approvisionnement logicielle.
Les chercheurs en sécurité exhortent les équipes à traiter chaque commande « npm install » comme une exécution de code potentielle, à scanner les dépendances avant de les intégrer dans des projets, et à utiliser des outils de vérification automatisés pour détecter les paquets altérés. La force de l’écosystème open-source—son ouverture—reste sa plus grande faiblesse lorsque des adversaires décident de l’exploiter.
