{"id":1577576,"date":"2025-03-13T12:43:21","date_gmt":"2025-03-13T14:43:21","guid":{"rendered":"https:\/\/teknomers.com\/fr\/scarcruft-de-la-coree-du-nord-deploie-des-logiciels-malveillants-kospys-espionnant-les-utilisateurs-dandroid-via-de-fausses-applications-utilitaires\/"},"modified":"2025-03-13T12:43:26","modified_gmt":"2025-03-13T14:43:26","slug":"scarcruft-de-la-coree-du-nord-deploie-des-logiciels-malveillants-kospys-espionnant-les-utilisateurs-dandroid-via-de-fausses-applications-utilitaires","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/scarcruft-de-la-coree-du-nord-deploie-des-logiciels-malveillants-kospys-espionnant-les-utilisateurs-dandroid-via-de-fausses-applications-utilitaires\/","title":{"rendered":"Scarcruft de la Cor\u00e9e du Nord d\u00e9ploie des logiciels malveillants kospys, espionnant les utilisateurs d&#8217;Android via de fausses applications utilitaires"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Scarcruft-de-la-Coree-du-Nord-deploie-des-logiciels-malveillants.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de menace en la Cor\u00e9e du Nord connue sous le nom de Scarcruft aurait \u00e9t\u00e9 \u00e0 l&#8217;origine d&#8217;un outil de surveillance Android in\u00e9dite nomm\u00e9 nomm\u00e9 <strong>Kospy<\/strong> ciblant les utilisateurs cor\u00e9ens et anglophones.<\/p>\n<p>Lookout, qui a partag\u00e9 les d\u00e9tails de la campagne de logiciels malveillants, a d\u00e9clar\u00e9 que les premi\u00e8res versions remontent \u00e0 mars 2022. Les \u00e9chantillons les plus r\u00e9cents ont \u00e9t\u00e9 signal\u00e9s en mars 2024. Il n&#8217;est pas clair \u00e0 quel point ces efforts ont r\u00e9ussi.<\/p>\n<p>&#8220;Kospy peut collecter des donn\u00e9es \u00e9tendues, telles que les messages SMS, les journaux d&#8217;appels, l&#8217;emplacement, les fichiers, l&#8217;audio et les captures d&#8217;\u00e9cran via des plugins charg\u00e9s dynamiquement&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.lookout.com\/threat-intelligence\/article\/lookout-discovers-new-spyware-by-north-korean-apt37\" target=\"_blank\">dit<\/a> dans une analyse.<\/p>\n<p>Les artefacts malveillants se masquent comme applications utilitaires sur le Google Play Store officiel, en utilisant le gestionnaire de fichiers, le gestionnaire de t\u00e9l\u00e9phone, le gestionnaire intelligent, le service de mise \u00e0 jour de logiciel et la s\u00e9curit\u00e9 de Kakao pour inciter les utilisateurs sans m\u00e9fiance \u00e0 infecter leurs propres appareils.<\/p>\n<p>Toutes les applications identifi\u00e9es offrent la fonctionnalit\u00e9 promise pour \u00e9viter d&#8217;\u00e9lever des suspicions tout en d\u00e9ploiant furtivement des composants li\u00e9s aux logiciels espions en arri\u00e8re-plan. Les applications ont depuis \u00e9t\u00e9 supprim\u00e9es du march\u00e9 des applications.<\/p>\n<p>Scarcruft, \u00e9galement appel\u00e9 APT27 et Reaper, est un groupe de cyber-espionnage parrain\u00e9 par l&#8217;\u00c9tat nord-cor\u00e9en actif depuis 2012. Des cha\u00eenes d&#8217;attaque orchestr\u00e9es par le groupe tirent principalement <a rel=\"noopener nofollow\" href=\"https:\/\/cn-sec.com\/archives\/3762400.html\" target=\"_blank\">R\u00e9colter les donn\u00e9es sensibles<\/a> \u00e0 partir des syst\u00e8mes Windows. Rokrat a depuis \u00e9t\u00e9 adapt\u00e9 pour cibler MacOS et Android. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les applications Android malveillantes, une fois install\u00e9es, sont con\u00e7ues pour contacter une base de donn\u00e9es Cloud Firestore Firestore Firebase pour r\u00e9cup\u00e9rer une configuration contenant l&#8217;adresse du serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>En utilisant un service l\u00e9gitime comme Firestore comme <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">Resolver de chute morte<\/a>L&#8217;approche C2 en deux \u00e9tapes offre \u00e0 la fois la flexibilit\u00e9 et la r\u00e9silience, permettant \u00e0 l&#8217;acteur de menace de modifier l&#8217;adresse C2 \u00e0 tout moment et de fonctionner non d\u00e9tect\u00e9.<\/p>\n<p>&#8220;Apr\u00e8s avoir r\u00e9cup\u00e9r\u00e9 l&#8217;adresse C2, Kospy garantit que l&#8217;appareil n&#8217;est pas un \u00e9mulateur et que la date actuelle est pass\u00e9e \u00e0 la date d&#8217;activation cod\u00e9e en dur&#8221;, a d\u00e9clar\u00e9 Lookout. &#8220;Cette v\u00e9rification de la date d&#8217;activation garantit que le logiciel espion ne r\u00e9v\u00e8le pas son intention malveillante pr\u00e9matur\u00e9ment.&#8221;<\/p>\n<p>Kospy est capable de t\u00e9l\u00e9charger des plugins suppl\u00e9mentaires ainsi que des configurations afin de r\u00e9pondre \u00e0 ses objectifs de surveillance. La nature exacte du plugin reste inconnue car les serveurs C2 ne sont plus actifs ou ne r\u00e9pondent pas aux demandes des clients.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741876999_760_Scarcruft-de-la-Coree-du-Nord-deploie-des-logiciels-malveillants.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741876999_760_Scarcruft-de-la-Coree-du-Nord-deploie-des-logiciels-malveillants.png\" alt=\"\" border=\"0\" data-original-height=\"599\" data-original-width=\"884\"\/><\/a><\/div>\n<p>Le malware est con\u00e7u pour collecter une large gamme de donn\u00e9es \u00e0 partir de l&#8217;appareil compromis, y compris les messages SMS, les journaux d&#8217;appels, l&#8217;emplacement de l&#8217;appareil, les fichiers dans le stockage local, les captures d&#8217;\u00e9cran, les cl\u00e9s, les informations r\u00e9seau Wi-Fi et la liste des applications install\u00e9es. Il est \u00e9galement \u00e9quip\u00e9 pour enregistrer l&#8217;audio et prendre des photos.<\/p>\n<p>Lookout a d\u00e9clar\u00e9 avoir identifi\u00e9 des infrastructures qui se chevauchent entre la campagne Kospy et celles pr\u00e9c\u00e9demment li\u00e9es \u00e0 un autre groupe de piratage nord-cor\u00e9en appel\u00e9 Kimsuky (alias APT43).<\/p>\n<h2 style=\"text-align: left;\">L&#8217;interview contagieuse se manifeste comme packages NPM<\/h2>\n<p>La divulgation intervient alors que Socket a d\u00e9couvert un ensemble de six packages NPM qui sont con\u00e7us pour d\u00e9ployer un logiciel malveillant connu de l&#8217;observation de l&#8217;information appel\u00e9e Beavertail, qui est li\u00e9e \u00e0 une campagne nord-cor\u00e9enne en cours suivie comme une interview contagieuse. La liste des packages d\u00e9sormais \u00e9limin\u00e9s est ci-dessous &#8211;<\/p>\n<ul>\n<li>IS-Buffer-Validator<\/li>\n<li>validateur yoojae<\/li>\n<li>package d&#8217;\u00e9v\u00e9nements<\/li>\n<li>array-vide-validateur<\/li>\n<li>react-event-d\u00e9pendance<\/li>\n<li>auto-validateur<\/li>\n<\/ul>\n<p>Les packages sont con\u00e7us pour collecter les d\u00e9tails de l&#8217;environnement syst\u00e8me, ainsi que les informations d&#8217;identification stock\u00e9es dans des navigateurs Web tels que Google Chrome, Brave et Mozilla Firefox. Il cible \u00e9galement les portefeuilles de crypto-monnaie, extrait id.json de Solana et Exodus.wallet d&#8217;Exodus. <\/p>\n<p>&#8220;Les six nouveaux packages &#8211; ont collectivement t\u00e9l\u00e9charg\u00e9 plus de 330 fois &#8211; imitent \u00e9troitement les noms de biblioth\u00e8ques largement fiables, utilisant une tactique de typosquat bien connue utilis\u00e9e par les acteurs de la menace li\u00e9s \u00e0 Lazarus pour tromper les d\u00e9veloppeurs&#8221;, a d\u00e9clar\u00e9 le chercheur de socket Kirill Boychenko <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/lazarus-strikes-npm-again-with-a-new-wave-of-malicious-packages\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;De plus, le groupe APT a cr\u00e9\u00e9 et maintenu les r\u00e9f\u00e9rentiels GitHub pour cinq des packages malveillants, pr\u00eatant une apparition de la l\u00e9gitimit\u00e9 open source et augmentant la probabilit\u00e9 que le code nocif soit int\u00e9gr\u00e9 aux flux de travail des d\u00e9veloppeurs.&#8221;<\/p>\n<h2 style=\"text-align: left;\">La campagne nord-cor\u00e9enne utilise Rustdoor et Koi Stealer<\/h2>\n<p>Les r\u00e9sultats suivent \u00e9galement la d\u00e9couverte d&#8217;une nouvelle campagne qui a \u00e9t\u00e9 trouv\u00e9e ciblant le secteur des crypto-monnaies avec un malware macOS bas\u00e9 sur la rouille appel\u00e9e Rustdoor (alias Thiefbucket) et une variante macOS non document\u00e9e d&#8217;une famille de malware connue sous le nom de Stealer Koi.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9clar\u00e9 que les caract\u00e9ristiques des attaquants ont des similitudes avec une entrevue contagieuse et qu&#8217;elle \u00e9value avec une confiance moyenne que l&#8217;activit\u00e9 a \u00e9t\u00e9 men\u00e9e au nom du r\u00e9gime nord-cor\u00e9en.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, la cha\u00eene d&#8217;attaque implique l&#8217;utilisation d&#8217;un faux projet d&#8217;entrevue d&#8217;emploi qui, lorsqu&#8217;il est ex\u00e9cut\u00e9 via Microsoft Visual Studio, tente de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter Rustdoor. Le malware proc\u00e8de ensuite \u00e0 voler les mots de passe de l&#8217;extension LastPass Google Chrome, \u00e0 exfilter les donn\u00e9es \u00e0 un serveur externe et \u00e0 t\u00e9l\u00e9charger deux scripts de bash suppl\u00e9mentaires pour ouvrir un shell invers\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741877001_483_Scarcruft-de-la-Coree-du-Nord-deploie-des-logiciels-malveillants.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741877001_483_Scarcruft-de-la-Coree-du-Nord-deploie-des-logiciels-malveillants.png\" alt=\"\" border=\"0\" data-original-height=\"535\" data-original-width=\"1097\"\/><\/a><\/div>\n<p>La derni\u00e8re \u00e9tape de l&#8217;infection implique la r\u00e9cup\u00e9ration et l&#8217;ex\u00e9cution d&#8217;une autre charge utile, une version macOS de KOI Stealer qui imite Visual Studio pour inciter les victimes \u00e0 entrer dans leur mot de passe du syst\u00e8me, lui permettant ainsi de recueillir et d&#8217;exfiltrer les donn\u00e9es de la machine.<\/p>\n<p>&#8220;Cette campagne met en \u00e9vidence les risques auxquels les organisations dans le monde sont confront\u00e9es \u00e0 partir d&#8217;attaques \u00e9labor\u00e9es d&#8217;ing\u00e9nierie sociale con\u00e7ues pour infiltrer les r\u00e9seaux et voler des donn\u00e9es sensibles et des crypto-monnaies&#8221;, les chercheurs en s\u00e9curit\u00e9 Adva Gabay et Daniel Frank <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/macos-malware-targets-crypto-sector\/\" target=\"_blank\">dit<\/a>. &#8220;Ces risques sont amplifi\u00e9s lorsque l&#8217;agresseur est un acteur de menace nationale, par rapport \u00e0 un cybercriminal purement motiv\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/north-koreas-scarcruft-deploys-kospy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de menace en la Cor\u00e9e du Nord connue sous le nom de Scarcruft aurait \u00e9t\u00e9 \u00e0 l&#8217;origine d&#8217;un outil de surveillance Android in\u00e9dite nomm\u00e9 nomm\u00e9 Kospy ciblant les utilisateurs cor\u00e9ens et anglophones. Lookout, qui a partag\u00e9 les d\u00e9tails de la campagne de logiciels malveillants, a d\u00e9clar\u00e9 que les premi\u00e8res versions remontent \u00e0 mars 2022. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1577577,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8361,4168,2344,79002,274264,4161,274263,6124,32891,7050,133,90708,2650,286476,65,4589,4590,274267,4160,1005,130502,238617,246491,4172,79016,7529,97153,4166,4164],"class_list":["post-1577576","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-applications","tag-comment-pirater","tag-coree","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dandroid","tag-deploie","tag-des","tag-espionnant","tag-fausses","tag-kospys","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nord","tag-scarcruft","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisateurs","tag-utilitaires","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1577576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1577576"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1577576\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1577577"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1577576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1577576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1577576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}