{"id":1269006,"date":"2024-08-06T10:21:08","date_gmt":"2024-08-06T12:21:08","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-nord-coreens-moonstone-sleet-diffusent-des-packages-js-malveillants-dans-le-registre-npm\/"},"modified":"2024-08-06T10:21:13","modified_gmt":"2024-08-06T12:21:13","slug":"les-pirates-informatiques-nord-coreens-moonstone-sleet-diffusent-des-packages-js-malveillants-dans-le-registre-npm","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-nord-coreens-moonstone-sleet-diffusent-des-packages-js-malveillants-dans-le-registre-npm\/","title":{"rendered":"Les pirates informatiques nord-cor\u00e9ens Moonstone Sleet diffusent des packages JS malveillants dans le registre npm"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-pirates-informatiques-nord-coreens-Moonstone-Sleet-diffusent-des-packages-JS.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de la menace li\u00e9 \u00e0 la Cor\u00e9e du Nord connu sous le nom de <b>Neige fondue de pierre de lune <\/b>a continu\u00e9 \u00e0 envoyer des packages npm malveillants vers le registre des packages JavaScript dans le but d&#8217;infecter les syst\u00e8mes Windows, soulignant ainsi la nature persistante de leurs campagnes.<\/p>\n<p>Les colis en question, <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=harthat-api\" target=\"_blank\">API Harthat<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=harthat-hash\" target=\"_blank\">hachage-harthat<\/a>ont \u00e9t\u00e9 publi\u00e9es le 7 juillet 2024, selon Datadog Security Labs. Les deux biblioth\u00e8ques n&#8217;ont attir\u00e9 aucun t\u00e9l\u00e9chargement et ont \u00e9t\u00e9 rapidement retir\u00e9es apr\u00e8s une courte p\u00e9riode.<\/p>\n<p>La branche s\u00e9curit\u00e9 de l&#8217;entreprise de surveillance cloud traque l&#8217;acteur de la menace sous le nom de Stressed Pungsan, qui pr\u00e9sente des chevauchements avec un groupe d&#8217;activit\u00e9s malveillantes nord-cor\u00e9en r\u00e9cemment d\u00e9couvert, baptis\u00e9 Moonstone Sleet.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722872960_626_Des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Bien que le nom ressemble au <a rel=\"nofollow noopener\" href=\"https:\/\/www.npmjs.com\/package\/hardhat\" target=\"_blank\">Casque<\/a> npm package (un utilitaire de d\u00e9veloppement Ethereum), son contenu n&#8217;indique aucune intention de le typosquatter&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Datadog Sebastian Obregoso et Zack Allen <a rel=\"nofollow noopener\" href=\"https:\/\/securitylabs.datadoghq.com\/articles\/stressed-pungsan-dprk-aligned-threat-actor-leverages-npm-for-initial-access\/\" target=\"_blank\">dit<\/a>. &#8220;Le package malveillant r\u00e9utilise le code d&#8217;un r\u00e9f\u00e9rentiel GitHub bien connu appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/node-config\/node-config\/\" target=\"_blank\">configuration de n\u0153ud<\/a> avec plus de 6 000 \u00e9toiles et 500 forks, connus dans npm sous le nom de config.&#8221; <\/p>\n<p>Les cha\u00eenes d&#8217;attaque orchestr\u00e9es par le collectif adverse sont connues pour diffuser de faux fichiers d&#8217;archive ZIP via LinkedIn sous un faux nom d&#8217;entreprise ou des sites Web ind\u00e9pendants, incitant les cibles potentielles \u00e0 ex\u00e9cuter des charges utiles qui invoquent un package npm dans le cadre d&#8217;une suppos\u00e9e \u00e9valuation des comp\u00e9tences techniques.<\/p>\n<p>\u00ab Une fois charg\u00e9, le package malveillant utilisait curl pour se connecter \u00e0 une adresse IP contr\u00f4l\u00e9e par un acteur et d\u00e9poser des charges utiles malveillantes suppl\u00e9mentaires comme SplitLoader \u00bb, a not\u00e9 Microsoft en mai 2024. \u00ab Lors d&#8217;un autre incident, Moonstone Sleet a livr\u00e9 un chargeur npm malveillant qui a conduit au vol d&#8217;informations d&#8217;identification de LSASS. \u00bb<\/p>\n<p>Des d\u00e9couvertes ult\u00e9rieures de Checkmarx ont r\u00e9v\u00e9l\u00e9 que Moonstone Sleet avait \u00e9galement tent\u00e9 de diffuser ses packages via le registre npm.<\/p>\n<p>Les packages nouvellement d\u00e9couverts sont con\u00e7us pour ex\u00e9cuter un script de pr\u00e9-installation sp\u00e9cifi\u00e9 dans le fichier package.json, qui, \u00e0 son tour, v\u00e9rifie s&#8217;il s&#8217;ex\u00e9cute sur un syst\u00e8me Windows (\u00ab Windows_NT \u00bb), apr\u00e8s quoi il contacte un serveur externe (\u00ab 142.111.77 \u00bb).[.]196&#8243;) pour t\u00e9l\u00e9charger un fichier DLL qui se charge lat\u00e9ralement \u00e0 l&#8217;aide de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/011\/\" target=\"_blank\">binaire rundll32.exe<\/a>.<\/p>\n<p>La DLL malveillante, quant \u00e0 elle, n&#8217;effectue aucune action malveillante, ce qui sugg\u00e8re soit un essai de son infrastructure de livraison de charge utile, soit qu&#8217;elle a \u00e9t\u00e9 pouss\u00e9e par inadvertance vers le registre avant d&#8217;y int\u00e9grer du code malveillant.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-publicites-Facebook-menent-a-de-faux-sites-Web-qui.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Cette \u00e9volution intervient alors que le Centre national de cybers\u00e9curit\u00e9 de Cor\u00e9e du Sud (NCSC) <a rel=\"nofollow noopener\" href=\"https:\/\/ncsc.go.kr\/main\/cop\/bbs\/selectBoardArticle.do?bbsId=SecurityAdvice_main&amp;nttId=146934&amp;pageIndex=1&amp;searchCnd2\" target=\"_blank\">averti<\/a> des cyberattaques lanc\u00e9es par des groupes de menaces nord-cor\u00e9ens connus sous le nom d&#8217;Andariel et de Kimsuky pour diffuser des familles de logiciels malveillants tels que Dora RAT et TrollAgent (alias Troll Stealer) dans le cadre de campagnes d&#8217;intrusion visant les secteurs de la construction et des machines dans le pays.<\/p>\n<p>La s\u00e9quence d&#8217;attaque Dora RAT est remarquable dans la mesure o\u00f9 les pirates d&#8217;Andariel ont exploit\u00e9 les vuln\u00e9rabilit\u00e9s du m\u00e9canisme de mise \u00e0 jour d&#8217;un logiciel VPN domestique pour propager le malware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/north-korean-hackers-moonstone-sleet.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 ao\u00fbt 2024\ue804Ravie LakshmananLogiciels malveillants \/ S\u00e9curit\u00e9 Windows L&#8217;acteur de la menace li\u00e9 \u00e0 la Cor\u00e9e du Nord connu sous le nom de Neige fondue de pierre de lune a continu\u00e9 \u00e0 envoyer des packages npm malveillants vers le registre des packages JavaScript dans le but d&#8217;infecter les syst\u00e8mes Windows, soulignant ainsi la nature persistante [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1269007,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,4168,4165,429,133,4382,8154,65,238584,200271,4590,238334,98340,157628,24722,7310,7309,4394,26915,238617,4172,4169,245892,4166,238583],"class_list":["post-1269006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-attaques","tag-dans","tag-des","tag-diffusent","tag-informatiques","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malveillants","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-moonstone","tag-nordcoreens","tag-npm","tag-packages","tag-pirates","tag-registre","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-sleet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1269006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1269006"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1269006\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1269007"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1269006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1269006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1269006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}