Une nouvelle campagne de compromission de la chaîne d’approvisionnement logicielle a été détectée sur le registre npm. Selon les chercheurs en cybersécurité de Socket, un groupe affilié à la Corée du Nord a réussi à publier 35 packages malveillants via 24 comptes différents, ciblant principalement les développeurs JavaScript dans le cadre de l’opération baptisée Contagious Interview.
Une opération sophistiquée de supply chain compromise
Cette attaque s’inscrit dans une stratégie plus large, déjà observée ces derniers mois, visant à toucher les environnements de développement en amont du cycle de vie logiciel.
Les packages publiés dans cette campagne sont conçus pour paraître légitimes, mimant des bibliothèques populaires ou des outils de développement utiles. Une fois installés, ces modules injectent des scripts malveillants capables d’exfiltrer des données, d’établir une persistance sur la machine cible, ou de servir de vecteurs d’attaques ultérieures.
Objectif : compromettre des développeurs pour infiltrer des organisations
Comme dans d’autres campagnes similaires liées à des groupes APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE, le choix de la cible — les développeurs — n’est pas anodin. En compromettant un environnement de développement, les attaquants peuvent espérer :
Propager du code malveillant dans les chaînes CI/CD
Obtenir des accès aux dépôts Git ou aux clés API
Escalader vers des environnements de production ou des serveurs cloud
Ce vecteur d’attaque, très difficile à détecter, donne aux cybercriminels un accès indirect mais profond à l’infrastructure des entreprises ciblées.
Attribution à des acteurs liés à la Corée du Nord
L’analyse menée par Socket fait remonter cette activité à des acteurs étatiques affiliés à la Corée du Nord, un mode opératoire cohérent avec d’autres campagnes connues comme Lazarus Group. Ces groupes mènent régulièrement des opérations complexes à l’intersection du cyberespionnage et du financement illicite de l’État.
L’opération Contagious Interview, dans laquelle s’inscrit cette campagne, utilise généralement des techniques d’ingénierie sociale poussées, en se faisant passer pour des recruteurs ou des entreprises technologiques, afin d’amener les développeurs à télécharger des outils ou packages corrompus.
Leçons à tirer pour les développeurs et équipes sécurité
Cette affaire rappelle les risques critiques liés à la chaîne d’approvisionnement logicielle, particulièrement dans les écosystèmes ouverts comme npm, où n’importe qui peut publier un package.
Les recommandations clés incluent :
Ne jamais installer de packages npm peu connus sans audit préalable
Éviter les packages récemment publiés avec peu ou pas d’activité sur GitHub
Mettre en place des politiques de scanning automatique des dépendances
Privilégier les outils comme Socket, Snyk ou npm audit pour détecter les comportements anormaux
Une menace persistante dans l’écosystème open source
Les registres de packages (npm, PyPI, RubyGems…) sont devenus des cibles prioritaires pour les groupes APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE. La publication de paquets malveillants est une méthode discrète, scalable, et souvent très efficace pour compromettre à la fois des individus et des infrastructures complètes.
Cette campagne nord-coréenne illustre une fois de plus l’évolution des menaces, où les attaques ne visent plus seulement les systèmes finaux, mais les maillons invisibles de la chaîne logicielle.