{"id":1612497,"date":"2025-04-05T16:38:25","date_gmt":"2025-04-05T18:38:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-deploient-des-logiciels-malveillants-beavertail-via-11-packages-npm-malveillants\/"},"modified":"2025-04-05T16:38:30","modified_gmt":"2025-04-05T18:38:30","slug":"les-pirates-nord-coreens-deploient-des-logiciels-malveillants-beavertail-via-11-packages-npm-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-deploient-des-logiciels-malveillants-beavertail-via-11-packages-npm-malveillants\/","title":{"rendered":"Les pirates nord-cor\u00e9ens d\u00e9ploient des logiciels malveillants Beavertail via 11 packages NPM malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Attaque de logiciels malveillants \/ d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-pirates-nord-coreens-deploient-des-logiciels-malveillants-Beavertail-via-11.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace nord-cor\u00e9enne derri\u00e8re la campagne d&#8217;interview contagieuse en cours diffusent leurs tentacules sur l&#8217;\u00e9cosyst\u00e8me du NPM en publiant plus de forfaits malveillants qui livrent le malware de Beavertail, ainsi qu&#8217;un nouveau chargeur de trojan (rat) \u00e0 acc\u00e8s \u00e0 distance.<\/p>\n<p>&#8220;Ces derniers \u00e9chantillons utilisent le codage des cha\u00eenes hexad\u00e9cimales pour \u00e9chapper aux syst\u00e8mes de d\u00e9tection automatis\u00e9s et aux audits de code manuel, signalant une variation des techniques d&#8217;obscurcissement des acteurs de la menace&#8221;, chercheur \u00e0 la s\u00e9curit\u00e9 de Socket Kirill Boychenko <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/lazarus-expands-malicious-npm-campaign-11-new-packages-add-malware-loaders-and-bitbucket\" target=\"_blank\">dit<\/a> dans un rapport.<\/p>\n<p>Les forfaits en question, qui ont \u00e9t\u00e9 collectivement t\u00e9l\u00e9charg\u00e9s plus de 5 600 fois avant leur retrait, sont r\u00e9pertori\u00e9s ci-dessous &#8211;<\/p>\n<ul>\n<li>validateur \u00e0 arrayage vide<\/li>\n<li>twitterapis<\/li>\n<li>dev-debugger-vite<\/li>\n<li>snore-log<\/li>\n<li>noyau<\/li>\n<li>\u00e9v\u00e9nements-utiles<\/li>\n<li>iCloud-Cod<\/li>\n<li>bogueur CLN<\/li>\n<li>n\u0153ud<\/li>\n<li>se consolider<\/li>\n<li>se consolider<\/li>\n<\/ul>\n<p>La divulgation survient pr\u00e8s d&#8217;un mois apr\u00e8s qu&#8217;un ensemble de six packages NPM a \u00e9t\u00e9 d\u00e9couvert en distribuant <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters\/\" target=\"_blank\">Queue \u00e0 queue<\/a>un <a rel=\"noopener nofollow\" href=\"https:\/\/www.esentire.com\/blog\/bored-beavertail-yacht-club-a-lazarus-lure\" target=\"_blank\">Voleur javascript<\/a> C&#8217;est \u00e9galement capable de livrer une porte d\u00e9rob\u00e9e bas\u00e9e sur Python surnomm\u00e9e InvisibleFerret.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;objectif final de la campagne est d&#8217;infiltrer les syst\u00e8mes de d\u00e9veloppeurs sous le couvert d&#8217;un processus d&#8217;entrevue d&#8217;emploi, de voler des donn\u00e9es sensibles, de siphon des actifs financiers et de maintenir un acc\u00e8s \u00e0 long terme \u00e0 des syst\u00e8mes compromis.<\/p>\n<p>Les biblioth\u00e8ques NPM nouvellement identifi\u00e9es se masquent comme des utilitaires et des d\u00e9buggeurs, avec l&#8217;une d&#8217;entre elles &#8211; Dev-Debugger-vite &#8211; en utilisant une adresse de commandement et de contr\u00f4le (C2) pr\u00e9c\u00e9demment signal\u00e9e par SecurityScoreCard, utilis\u00e9 par le groupe Lazarus dans un circuit de Campe-nomm\u00e9 de la campagne en d\u00e9cembre 2024.<\/p>\n<p>Ce qui fait que ces packages se d\u00e9marquent, c&#8217;est que certains d&#8217;entre eux, tels que les \u00e9v\u00e9nements-Utils et Icloud-Cod, sont li\u00e9s aux r\u00e9f\u00e9rentiels Bitbucket, par opposition \u00e0 GitHub. De plus, le package iCloud-Cod s&#8217;est av\u00e9r\u00e9 \u00eatre h\u00e9berg\u00e9 dans un r\u00e9pertoire nomm\u00e9 &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/bitbucket.org\/eiwork_hire\/icloud-cod\/\" target=\"_blank\">eiwork_hire<\/a>&#8220;R\u00e9it\u00e9rant l&#8217;utilisation par l&#8217;acteur de menace de th\u00e8mes li\u00e9s aux entretiens pour activer l&#8217;infection.<\/p>\n<p>Une analyse des packages, CLN-Logger, Node-Clog, Consolidated-Log et Consolidate-Logger, a \u00e9galement d\u00e9couvert des variations mineures au niveau du code, indiquant que les attaquants publient plusieurs variantes de logiciels malveillants dans le but d&#8217;augmenter le taux de r\u00e9ussite de la campagne.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-pirates-nord-coreens-deploient-des-logiciels-malveillants-Beavertail-via-11.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-pirates-nord-coreens-deploient-des-logiciels-malveillants-Beavertail-via-11.png\" alt=\"\" border=\"0\" data-original-height=\"1040\" data-original-width=\"2042\"\/><\/a><\/div>\n<p>Quelles que soient les modifications, le code malveillant int\u00e9gr\u00e9 dans les quatre packages fonctionne comme un chargeur de Troie (rat) d&#8217;acc\u00e8s \u00e0 distance capable de propager une charge utile \u00e0 la prochaine \u00e9tape d&#8217;un serveur distant.<\/p>\n<p>&#8220;Les acteurs contagieux de la menace d&#8217;entrevue continuent de cr\u00e9er de nouveaux comptes NPM et de d\u00e9ployer du code malveillant sur des plateformes comme le registre du NPM, Github et Bitbucket, d\u00e9montrant leur persistance et ne montrant aucun signe de ralentissement&#8221;, a d\u00e9clar\u00e9 Boychenko.<\/p>\n<p>&#8220;Le groupe avanc\u00e9 de menace persistante (APT) diversifie ses tactiques &#8211; publier de nouveaux logiciels malveillants sous de nouveaux alias, h\u00e9bergeant des charges utiles dans les r\u00e9f\u00e9rentiels GitHub et Bitbucket, et r\u00e9utiliser des composants centraux comme Beavertail et InvisibleFerret aux c\u00f4t\u00e9s de variantes de rat \/ chargement nouvellement observ\u00e9es.&#8221;<\/p>\n<h3>Beavertail Drops Tropidoor<\/h3>\n<p>La d\u00e9couverte des nouveaux forfaits NPM intervient alors que la soci\u00e9t\u00e9 sud-cor\u00e9enne de cybers\u00e9curit\u00e9 Ahnlab a d\u00e9taill\u00e9 une campagne de phishing sur le th\u00e8me du recrutement qui fournit Beavertail, qui est ensuite utilis\u00e9e pour d\u00e9ployer une cod\u00e9 Backdoor Windows auparavant sans papiers. Les artefacts analys\u00e9s par le cabinet montrent que Beavertail est utilis\u00e9 pour cibler activement les d\u00e9veloppeurs en Cor\u00e9e du Sud.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le <a rel=\"noopener nofollow\" href=\"https:\/\/dev.to\/andreitelteu\/beware-recruitment-emails-with-malware-infected-git-repos-adminautosquarestore-scam-431o\" target=\"_blank\">e-mail<\/a>qui pr\u00e9tendait provenir d&#8217;une entreprise appel\u00e9e Autosquare, contenait un lien vers un projet h\u00e9berg\u00e9 sur Bitbucket, exhortant le destinataire \u00e0 cloner localement le projet sur sa machine pour examiner sa compr\u00e9hension du programme. <\/p>\n<p>L&#8217;application n&#8217;est rien d&#8217;autre qu&#8217;une biblioth\u00e8que NPM qui contient Beauvertail (&#8220;tailwind.config.js&#8221;) et un logiciel malveillant DLL (&#8220;car.dll&#8221;), ce dernier est lanc\u00e9 par le voleur et le chargeur JavaScript. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743878305_665_Les-pirates-nord-coreens-deploient-des-logiciels-malveillants-Beavertail-via-11.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743878305_665_Les-pirates-nord-coreens-deploient-des-logiciels-malveillants-Beavertail-via-11.jpg\" alt=\"\" border=\"0\" data-original-height=\"400\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Tropidoor est une porte d\u00e9rob\u00e9e &#8220;op\u00e9rant en m\u00e9moire via le t\u00e9l\u00e9chargeur&#8221; \u200b\u200bqui est capable de contacter un serveur C2 pour recevoir des instructions qui permettent d&#8217;exfiltrer des fichiers, de collecter des informations sur le lecteur et de fichier, d&#8217;ex\u00e9cuter et de terminer les processus, de capturer des captures d&#8217;\u00e9cran et de supprimer ou d&#8217;effacer les fichiers en les \u00e9crasant avec des donn\u00e9es nuls ou nulles.<\/p>\n<p>Un aspect important de l&#8217;implant est qu&#8217;il impl\u00e9mente directement les commandes Windows telles que les schtasks, le ping et le reg, une fonctionnalit\u00e9 pr\u00e9c\u00e9demment \u00e9galement observ\u00e9e dans un autre logiciel malveillant de groupe Lazare appel\u00e9 Lightlesscan, lui-m\u00eame un successeur de Blindingcan (aka airdry aka zetanile).<\/p>\n<p>&#8220;Les utilisateurs doivent \u00eatre prudents non seulement avec les pi\u00e8ces jointes des e-mails mais \u00e9galement avec les fichiers ex\u00e9cutables \u00e0 partir de sources inconnues&#8221;, ahnlab <a rel=\"noopener nofollow\" href=\"https:\/\/asec.ahnlab.com\/en\/87299\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/north-korean-hackers-deploy-beavertail.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 avril 2025\ue804Ravie LakshmananAttaque de logiciels malveillants \/ d&#8217;approvisionnement Les acteurs de la menace nord-cor\u00e9enne derri\u00e8re la campagne d&#8217;interview contagieuse en cours diffusent leurs tentacules sur l&#8217;\u00e9cosyst\u00e8me du NPM en publiant plus de forfaits malveillants qui livrent le malware de Beavertail, ainsi qu&#8217;un nouveau chargeur de trojan (rat) \u00e0 acc\u00e8s \u00e0 distance. &#8220;Ces derniers \u00e9chantillons [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1612498,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,242262,4168,79002,274264,4161,274263,6124,16028,133,65,4589,4590,274267,4160,24722,7310,7309,4394,238617,246491,4172,79016,4166,4164],"class_list":["post-1612497","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-beavertail","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deploient","tag-des","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nordcoreens","tag-npm","tag-packages","tag-pirates","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1612497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1612497"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1612497\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1612498"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1612497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1612497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1612497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}