{"id":1261413,"date":"2024-07-31T15:57:01","date_gmt":"2024-07-31T17:57:01","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-malware-lie-a-la-coree-du-nord-cible-les-developpeurs-sur-windows-linux-et-macos\/"},"modified":"2024-07-31T15:57:05","modified_gmt":"2024-07-31T17:57:05","slug":"un-malware-lie-a-la-coree-du-nord-cible-les-developpeurs-sur-windows-linux-et-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-malware-lie-a-la-coree-du-nord-cible-les-developpeurs-sur-windows-linux-et-macos\/","title":{"rendered":"Un malware li\u00e9 \u00e0 la Cor\u00e9e du Nord cible les d\u00e9veloppeurs sur Windows, Linux et macOS"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 juillet 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>D\u00e9veloppement de logiciels malveillants \/ logiciels<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les acteurs de la menace \u00e0 l’origine d’une campagne de malware en cours ciblant les d\u00e9veloppeurs de logiciels ont d\u00e9montr\u00e9 de nouveaux malwares et de nouvelles tactiques, \u00e9largissant leur champ d’action pour inclure les syst\u00e8mes Windows, Linux et macOS.<\/p>\n

Le p\u00f4le d’activit\u00e9, baptis\u00e9 D\u00c9VELOPPEUR#POPPER<\/strong> et li\u00e9 \u00e0 la Cor\u00e9e du Nord, aurait cibl\u00e9 des victimes en Cor\u00e9e du Sud, en Am\u00e9rique du Nord, en Europe et au Moyen-Orient.<\/p>\n

\u00ab Cette forme d’attaque est une forme avanc\u00e9e d’ing\u00e9nierie sociale, con\u00e7ue pour manipuler les individus afin qu’ils divulguent des informations confidentielles ou effectuent des actions qu’ils ne feraient normalement pas \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Securonix Den Iuzvyk et Tim Peck dans un nouveau rapport. rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n

\"La<\/a><\/center><\/section>\n

DEV#POPPER est le surnom attribu\u00e9 \u00e0 une campagne active de malwares qui incite les d\u00e9veloppeurs de logiciels \u00e0 t\u00e9l\u00e9charger des logiciels pi\u00e9g\u00e9s h\u00e9berg\u00e9s sur GitHub sous couvert d’un entretien d’embauche. Cette campagne partage des points communs avec une campagne suivie par Palo Alto Networks Unit 42 sous le nom de Contagious Interview.<\/p>\n

Des signes indiquant que la campagne \u00e9tait plus large et multiplateforme sont apparus plus t\u00f4t ce mois-ci lorsque les chercheurs ont d\u00e9couvert des artefacts ciblant \u00e0 la fois Windows et macOS qui fournissaient une version mise \u00e0 jour d’un malware appel\u00e9 BeaverTail.<\/p>\n

\"Logiciels<\/a><\/div>\n

Le document de la cha\u00eene d’attaque de Securonix est plus ou moins coh\u00e9rent dans la mesure o\u00f9 les acteurs de la menace se font passer pour des intervieweurs pour un poste de d\u00e9veloppeur et exhortent les candidats \u00e0 t\u00e9l\u00e9charger un fichier d’archive ZIP pour une mission de codage.<\/p>\n

L’archive contient un module npm qui, une fois install\u00e9, d\u00e9clenche l’ex\u00e9cution d’un JavaScript obscurci (c’est-\u00e0-dire BeaverTail) qui d\u00e9termine le syst\u00e8me d’exploitation sur lequel il s’ex\u00e9cute et \u00e9tablit un contact avec un serveur distant pour exfiltrer les donn\u00e9es d’int\u00e9r\u00eat.<\/p>\n

Il est \u00e9galement capable de t\u00e9l\u00e9charger des charges utiles de prochaine \u00e9tape, y compris une porte d\u00e9rob\u00e9e Python appel\u00e9e InvisibleFerret, con\u00e7ue pour collecter des m\u00e9tadonn\u00e9es syst\u00e8me d\u00e9taill\u00e9es, acc\u00e9der aux cookies stock\u00e9s dans les navigateurs Web, ex\u00e9cuter des commandes, t\u00e9l\u00e9charger\/t\u00e9l\u00e9charger des fichiers, ainsi que consigner les frappes au clavier et le contenu du presse-papiers.<\/p>\n

Les nouvelles fonctionnalit\u00e9s ajout\u00e9es aux \u00e9chantillons r\u00e9cents incluent l\u2019utilisation d\u2019une obfuscation am\u00e9lior\u00e9e, le logiciel de surveillance et de gestion \u00e0 distance AnyDesk (RMM) pour la persistance et des am\u00e9liorations du m\u00e9canisme FTP utilis\u00e9 pour l\u2019exfiltration des donn\u00e9es.<\/p>\n

De plus, le script Python agit comme un canal pour ex\u00e9cuter un script auxiliaire charg\u00e9 de voler des informations sensibles \u00e0 partir de divers navigateurs Web (Google Chrome, Opera et Brave) sur diff\u00e9rents syst\u00e8mes d’exploitation.<\/p>\n

\u00ab Cette extension sophistiqu\u00e9e de la campagne DEV#POPPER originale continue d’exploiter des scripts Python pour ex\u00e9cuter une attaque en plusieurs \u00e9tapes ax\u00e9e sur l’exfiltration d’informations sensibles des victimes, mais d\u00e9sormais avec des capacit\u00e9s beaucoup plus robustes \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n