Il a \u00e9t\u00e9 d\u00e9couvert qu’un ensemble de faux packages NPM d\u00e9couverts dans le r\u00e9f\u00e9rentiel Node.js partageaient des liens avec des acteurs parrain\u00e9s par l’\u00c9tat nord-cor\u00e9en, selon de nouvelles d\u00e9couvertes de l’\u00e9mission Phylum.<\/p>\n
Les packages sont nomm\u00e9s ex\u00e9cution-time-async, data-time-utils, login-time-utils, mongodb-connection-utils et mongodb-execution-utils.<\/p>\n
L’un des forfaits en question, temps d’ex\u00e9cution-asynchrone<\/a>se fait passer pour son homologue l\u00e9gitime temps d’ex\u00e9cution<\/a>, une biblioth\u00e8que avec plus de 27 000 t\u00e9l\u00e9chargements hebdomadaires. Execution-time est un utilitaire Node.js utilis\u00e9 pour mesurer le temps d’ex\u00e9cution dans le code.<\/p>\n Il “installe en fait plusieurs scripts malveillants, notamment un voleur de crypto-monnaie et d’informations d’identification”, Phylum dit<\/a>, d\u00e9crivant la campagne comme une attaque contre la cha\u00eene d’approvisionnement de logiciels ciblant les d\u00e9veloppeurs de logiciels. Le colis \u00e9tait t\u00e9l\u00e9charg\u00e9 302 fois<\/a> depuis le 4 f\u00e9vrier 2024, avant d’\u00eatre retir\u00e9.<\/p>\n Dans une tournure int\u00e9ressante, les auteurs de la menace ont tent\u00e9 de dissimuler le code malveillant dissimul\u00e9 dans un fichier de test, con\u00e7u pour r\u00e9cup\u00e9rer les charges utiles de l’\u00e9tape suivante \u00e0 partir d’un serveur distant, voler les informations d’identification des navigateurs Web tels que Brave, Google Chrome et Opera, et r\u00e9cup\u00e9rer un script Python, qui, \u00e0 son tour, t\u00e9l\u00e9charge d’autres scripts –<\/p>\n Phylum a d\u00e9clar\u00e9 avoir identifi\u00e9 des commentaires dans le code source (“\/Users\/ninoacuna\/”) qui permettaient de retrouver un profil GitHub d\u00e9sormais supprim\u00e9 portant le m\u00eame nom (“Nino Acuna” ou binaireExDev) contenant un r\u00e9f\u00e9rentiel appel\u00e9 File-Uploader. .<\/p>\n Le r\u00e9f\u00e9rentiel contenait des scripts Python faisant r\u00e9f\u00e9rence aux m\u00eames adresses IP (162.218.114[.]83 \u2013 chang\u00e9 par la suite en 45.61.169[.]99) utilis\u00e9 pour r\u00e9cup\u00e9rer les scripts Python susmentionn\u00e9s.<\/p>\n On soup\u00e7onne que l’attaque est un travail en cours, car au moins quatre autres packages dot\u00e9s de fonctionnalit\u00e9s identiques ont \u00e9t\u00e9 transf\u00e9r\u00e9s vers le r\u00e9f\u00e9rentiel de packages npm, attirant un total de 325 t\u00e9l\u00e9chargements –<\/p>\n Phylum, qui a \u00e9galement analys\u00e9 les deux comptes GitHub suivis par binaireExDev, a d\u00e9couvert un autre r\u00e9f\u00e9rentiel connu sous le nom de mave-finance-org\/auth-playground, qui a \u00e9t\u00e9 bifurqu\u00e9 pas moins d’une douzaine de fois par d’autres comptes.<\/p>\n Bien que la duplication d’un r\u00e9f\u00e9rentiel en soi ne soit pas inhabituelle, un aspect inhabituel de certains de ces r\u00e9f\u00e9rentiels dupliqu\u00e9s \u00e9tait qu’ils ont \u00e9t\u00e9 renomm\u00e9s \u00ab auth-demo \u00bb ou \u00ab auth-challenge \u00bb, ce qui soul\u00e8ve la possibilit\u00e9 que le r\u00e9f\u00e9rentiel d’origine ait pu \u00eatre partag\u00e9 en tant que tel. partie d’un test de codage pour un entretien d’embauche.<\/p>\n Le r\u00e9f\u00e9rentiel a ensuite \u00e9t\u00e9 d\u00e9plac\u00e9 vers banus-finance-org\/auth-sandbox, Dexbanus-org\/live-coding-sandbox et mave-finance\/next-assessment, indiquant des tentatives de contournement actif des tentatives de retrait de GitHub. Tous ces comptes ont \u00e9t\u00e9 supprim\u00e9s.<\/p>\n De plus, il a \u00e9t\u00e9 constat\u00e9 que le package d’\u00e9valuation suivante contenait une d\u00e9pendance “json-mock-config-server” qui n’est pas r\u00e9pertori\u00e9e dans le registre npm, mais plut\u00f4t servie directement \u00e0 partir du domaine npm.mave.[.]finance.<\/p>\n Il convient de noter que Banus pr\u00e9tend \u00eatre un \u00e9change au comptant perp\u00e9tuel d\u00e9centralis\u00e9<\/a> bas\u00e9e \u00e0 Hong Kong, la soci\u00e9t\u00e9 affichant m\u00eame un opportunit\u00e9 professionnelle<\/a> pour un d\u00e9veloppeur frontend senior le 21 f\u00e9vrier 2024. Il n’est actuellement pas clair s’il s’agit d’une v\u00e9ritable offre d’emploi ou s’il s’agit d’un programme d’ing\u00e9nierie sociale \u00e9labor\u00e9.<\/p>\n Les liens avec les acteurs nord-cor\u00e9ens de la menace proviennent du fait que le code JavaScript masqu\u00e9 int\u00e9gr\u00e9 dans le package npm chevauche un autre malware bas\u00e9 sur JavaScript, baptis\u00e9 BeaverTail, qui se propage via les packages npm. La campagne a \u00e9t\u00e9 baptis\u00e9e Contagious Interview par Palo Alto Networks Unit 42 en novembre 2023.<\/p>\n Contagious Interview est un peu diff\u00e9rent d’Operation Dream Job \u2013 qui est li\u00e9e au groupe Lazarus \u2013 en ce sens qu’il se concentre principalement sur le ciblage des d\u00e9veloppeurs via de fausses identit\u00e9s sur des portails d’emploi ind\u00e9pendants pour les inciter \u00e0 installer des packages npm malveillants, Michael Sikorski, vice-pr\u00e9sident et CTO. de l’unit\u00e9 42 de Palo Alto Networks, a d\u00e9clar\u00e9 \u00e0 l’\u00e9poque \u00e0 The Hacker News.<\/p>\n L’un des d\u00e9veloppeurs victimes de la campagne a depuis confirm\u00e9 \u00e0 Phylum que le r\u00e9f\u00e9rentiel \u00e9tait partag\u00e9 sous couvert d’une interview de codage en direct, bien qu’il ait d\u00e9clar\u00e9 ne l’avoir jamais install\u00e9 sur son syst\u00e8me.<\/p>\n “Plus que jamais, il est important que les d\u00e9veloppeurs individuels ainsi que les organisations de d\u00e9veloppement de logiciels restent vigilants contre ces attaques dans le code open source”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Des-pirates-nord-coreens-ciblent-les-developpeurs-avec-des-packages-npm.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\nDes liens \u00e9mergent avec des acteurs nord-cor\u00e9ens<\/h2>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n