Actualités

Des hackers nord-coréens déploient 26 packages npm malveillants

Par

Shweta Chakrawarty

Shweta Chakrawarty

Des pirates informatiques nord-coréens ont publié 26 paquets npm malveillants en mars 2026, utilisant Pastebin pour dissimuler des serveurs C2 et cibler les développeurs de cryptomonnaies.

Des hackers nord-coréens déploient 26 packages npm malveillants

À retenir

Résumé généré par l'IA, examiné par la rédaction.

  • Des pirates informatiques nord-coréens ont mis en ligne 26 packages de développement npm malveillants.

  • Les bibliothèques infectées dissimulent des logiciels malveillants RAT pour voler les clés SSH.

  • Le célèbre groupe Chollima cible les développeurs Web3 via des attaques sur la chaîne d'approvisionnement.

  • Des scripts malveillants analysent les systèmes à la recherche de secrets de portefeuilles crypto exposés.

Une nouvelle menace sur la chaîne d’approvisionnement met les développeurs en alerte. Des chercheurs en cybersécurité avertissent que des hackers nord-coréens ont mis en ligne 26 packages malveillants sur le registre npm. L’objectif est d’infecter les machines des développeurs et de voler des données sensibles.

L’alerte, partagée par la communauté GoPlus le 3 mars, relie la campagne au groupe de piratage bien connu « Famous Chollima ». Selon le rapport, les packages dissimulent un cheval de Troie d’accès à distance (RAT) qui s’active lors de l’installation. L’incident met en lumière les risques croissants au sein des écosystèmes open source, en particulier pour les développeurs Web3 et crypto.

Des packages malveillants cachés à la vue de tous

Les chercheurs indiquent que les attaquants ont publié 26 faux packages imitant des outils légitimes pour développeurs, notamment des bibliothèques de linting et des utilitaires. Chaque package contient un script install.js qui s’exécute automatiquement lors de l’installation. Une fois déclenché, le script lance un code dissimulé situé dans vendor/scrypt-js/version.js. Ce code télécharge discrètement un cheval de Troie d’accès à distance depuis une URL malveillante.

Comme les installations npm s’exécutent souvent automatiquement dans les environnements de développement, de nombreux utilisateurs peuvent ne pas remarquer l’infection. Les analystes en sécurité soulignent que cette tactique est efficace car elle exploite les flux de travail habituels des développeurs. En bref, le malware arrive déguisé en outil de routine.

Ce que peut faire le malware

Le RAT intégré offre aux attaquants un accès approfondi aux systèmes infectés. Selon l’alerte GoPlus, le malware peut effectuer plusieurs actions dangereuses. Il peut enregistrer les frappes au clavier, voler les données du presse-papiers et collecter les identifiants de navigateurs. Il analyse également les systèmes avec TruffleHog pour repérer des secrets exposés.

Dans les cas les plus graves, il tente de dérober des dépôts Git et des clés SSH. Pour les développeurs crypto, le risque est encore plus élevé. Des clés ou identifiants compromis peuvent conduire directement à des violations de portefeuilles ou à la compromission de projets. C’est pourquoi les équipes de sécurité classent cette campagne comme hautement critique.

Des liens avec le groupe Famous Chollima

Les enquêteurs ont attribué l’activité à l’opération de piratage nord-coréenne connue sous le nom de Famous Chollima. Ce groupe est suivi par des sociétés de cybersécurité depuis au moins 2018. Il a déjà ciblé des développeurs, des projets crypto et des plateformes financières.

Des analyses récentes suggèrent que la campagne utilise des techniques avancées d’obfuscation. Certains rapports évoquent des méthodes de stéganographie dissimulant des données de commande et de contrôle dans des textes apparemment inoffensifs. L’infrastructure du malware semble également répartie sur plusieurs services d’hébergement, ce qui complique les opérations de démantèlement. Ce schéma correspond aux précédentes opérations nord-coréennes, axées sur l’infiltration à long terme plutôt que sur des attaques rapides.

Les développeurs appelés à la vigilance

Les experts en sécurité exhortent les développeurs à vérifier l’origine des packages avant d’installer des dépendances. Même de petits projets peuvent devenir des points d’entrée pour des compromissions plus larges de la chaîne d’approvisionnement. GoPlus a spécifiquement conseillé d’éviter les packages signalés et d’examiner attentivement les arbres de dépendances.

Les équipes sont également encouragées à activer les lockfiles, les outils d’audit et la surveillance à l’exécution. L’incident rappelle une nouvelle fois que les écosystèmes open source restent une cible privilégiée pour les hackers liés à des États. À mesure que le développement Web3 et crypto progresse, les enjeux augmentent. Pour l’instant, les experts estiment que les bonnes pratiques de base, la vérification des packages et une confiance limitée demeurent la meilleure défense.

Références

Écrit par :
Shweta Chakrawarty
Shweta Chakrawarty
Révision et vérification par :
Shivani Ramrakhyani
Shivani Ramrakhyani
Contributeurs :
吴说区块链
En savoir plus sur nos directives et normes éditoriales ici.
Google News Icon

Suivez-nous sur Google News

Recevez les dernières informations et mises à jour sur la crypto.

Suivre

Articles similaires

Telegram échappe à l’interdiction tandis que le carry trade sur le yen passe au numérique
Nouvelles
5 Min read

Telegram échappe à l’interdiction tandis que le carry trade sur le yen passe au numérique

Vandit Grover

Vandit Grover

Author

Les institutions se ruent sur les ETF Bitcoin alors que les risques géopolitiques augmentent
Nouvelles
4 Min read

Les institutions se ruent sur les ETF Bitcoin alors que les risques géopolitiques augmentent

Vandit Grover

Vandit Grover

Author

La Banque du Japon teste la blockchain pour les réserves de la banque centrale
Nouvelles
3 Min read

La Banque du Japon teste la blockchain pour les réserves de la banque centrale

Shweta Chakrawarty

Shweta Chakrawarty

Author