En bref

  • Des hackers nord-coréens ont publié 1 700 paquets malveillants sur npm, PyPI, Go et Rust depuis début 2026.
  • Les développeurs utilisant des dépendances open source sont directement exposés à ces attaques supply chain.
  • 164 domaines de phishing imitant Microsoft Teams et Zoom ont été bloqués entre février et avril 2026.

Ce qui s'est passé

La campagne nord-coréenne connue sous le nom de Contagious Interview a franchi un cap en étendant massivement ses opérations de compromission de la chaîne d'approvisionnement logicielle. Selon The Hacker News, le groupe UNC1069, qui chevauche les groupes BlueNoroff, Sapphire Sleet et Stardust Chollima, a disséminé 1 700 paquets malveillants à travers quatre écosystèmes majeurs : npm, PyPI, Go et Rust. Ces paquets imitent des outils de développement légitimes tout en embarquant des chargeurs de malwares.

Parmi les paquets identifiés figurent notamment dev-log-core, logger-base, logkitx et pino-debugger sur npm, ainsi que logutilkit, fluxhttp et license-utils-kit sur PyPI. Ces noms sont délibérément choisis pour ressembler à des librairies de logging et d'utilitaires couramment utilisées par les développeurs. Une fois installés, ils déploient des implants permettant le vol de credentials et l'exfiltration de données.

En parallèle, une alliance de sécurité a bloqué 164 domaines liés à UNC1069 entre le 6 février et le 7 avril 2026. Ces domaines usurpaient l'identité de services populaires comme Microsoft Teams et Zoom pour piéger les développeurs via des campagnes d'ingénierie sociale. Cette infrastructure de phishing servait de vecteur initial pour inciter les victimes à installer les paquets compromis.

Pourquoi c'est important

L'ampleur de cette campagne marque une escalade significative des attaques supply chain nord-coréennes. Avec 1 700 paquets répartis sur quatre écosystèmes, le filet est exceptionnellement large. Les développeurs qui installent une dépendance sans vérification approfondie peuvent compromettre l'ensemble de leur pipeline CI/CD et, par extension, les applications déployées en production.

L'extension aux écosystèmes Go et Rust est particulièrement préoccupante. Ces langages, souvent utilisés pour des composants critiques d'infrastructure et de sécurité, étaient jusqu'ici relativement épargnés par les attaques supply chain massives. Cette diversification montre que les attaquants adaptent leurs tactiques à l'évolution des pratiques de développement.

Ce qu'il faut retenir

  • Auditer systématiquement les nouvelles dépendances avant installation : vérifier l'auteur, la date de publication, le nombre de téléchargements et le code source.
  • Utiliser des outils d'analyse de composition logicielle (SCA) pour détecter les paquets suspects dans vos projets existants.
  • Mettre en place un registre de paquets privé avec liste blanche pour contrôler les dépendances autorisées dans votre organisation.

Comment vérifier si mes projets contiennent des paquets compromis ?

Commencez par croiser vos fichiers de dépendances (package.json, requirements.txt, go.mod, Cargo.toml) avec les listes d'indicateurs de compromission publiées par les chercheurs en sécurité. Utilisez des outils comme npm audit, pip-audit ou des solutions SCA commerciales comme Snyk ou Socket.dev. Surveillez particulièrement les paquets de logging et d'utilitaires récemment ajoutés à vos projets, car c'est le camouflage privilégié par cette campagne.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact