La campagne persistante liée à la Corée du Nord, connue sous le nom de **Contagious Interview**, a étendu sa portée en publiant des packages malveillants ciblant les écosystèmes Go, Rust et PHP. « Les packages de l'acteur de la menace ont été conçus pour usurper l'identité d'outils de développement légitimes [...], tout en fonctionnant discrètement comme des chargeurs de malware, étendant le playbook établi de Contagious Interview dans une opération coordonnée de chaîne d'approvisionnement inter-écosystèmes », a déclaré Kirill Boychenko, chercheur en sécurité chez **Socket**, dans un rapport mardi. ### Packages Malveillants Identifiés La liste complète des packages identifiés est la suivante : * npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz * PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit * Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg * Rust: logtrace * Packagist: golangorg/logkit Ces chargeurs sont conçus pour récupérer des payloads secondaires spécifiques à la plateforme, qui sont des malwares dotés de capacités d'infostealer et de cheval de Troie d'accès à distance (RAT). Le malware se concentre principalement sur la collecte de données à partir des navigateurs web, des gestionnaires de mots de passe et des portefeuilles de cryptomonnaies. ### Capacités Avancées Post-Compromission Notamment, la version Windows du malware livrée via "license-utils-kit" intègre ce que **Socket** décrit comme un "implant post-compromission complet". Cet implant peut exécuter des commandes shell, enregistrer les frappes clavier, voler des données de navigateur, télécharger des fichiers, terminer des navigateurs web, déployer **AnyDesk** pour l'accès à distance, créer une archive chiffrée et télécharger des modules supplémentaires. « Cela rend ce cluster notable non seulement pour sa portée inter-écosystèmes, mais aussi pour la profondeur des fonctionnalités post-compromission intégrées dans au moins une partie de la campagne », a ajouté Boychenko. ### Code Malveillant Dissimulé Un aspect clé de ces bibliothèques est que le code malveillant n'est pas déclenché lors de l'installation. Au lieu de cela, il est intégré dans des fonctions apparemment légitimes qui correspondent à l'objectif annoncé du package. Par exemple, dans le cas de "logtrace", le code est dissimulé dans "Logger::trace(i32)", une méthode peu susceptible de susciter des soupçons. L'expansion de Contagious Interview à travers cinq écosystèmes open-source indique une menace de chaîne d'approvisionnement bien financée et persistante. La campagne vise à infiltrer systématiquement ces plateformes comme voies d'accès initiales pour pénétrer les environnements de développement à des fins d'espionnage et de gain financier. Au total, **Socket** a identifié plus de 1 700 packages malveillants liés à cette activité depuis le début de janvier 2025. ### Campagne Plus Large et Attribution La découverte fait partie d'une campagne plus large de compromission de la chaîne d'approvisionnement logicielle entreprise par des groupes de piratage nord-coréens. Cela inclut l'empoisonnement du populaire package npm Axios pour distribuer un implant appelé WAVESHAPER.V2 après avoir pris le contrôle du compte npm du mainteneur du package via une campagne d'ingénierie sociale ciblée. L'attaque a été attribuée à un acteur de la menace motivé financièrement connu sous le nom d'UNC1069, qui chevauche **BlueNoroff**, **Sapphire Sleet** et **Stardust Chollima**. **Security Alliance (SEAL)**, dans un rapport publié aujourd'hui, a déclaré avoir bloqué 164 domaines liés à UNC1069 usurpant l'identité de services tels que **Microsoft Teams** et **Zoom** entre le 6 février et le 7 avril 2026. « UNC1069 mène des campagnes d'ingénierie sociale à basse pression sur plusieurs semaines via **Telegram**, **LinkedIn** et **Slack** – soit en usurpant l'identité de contacts connus ou de marques crédibles, soit en exploitant l'accès à des comptes d'entreprise et individuels précédemment compromis – avant de livrer un lien de réunion frauduleux **Zoom** ou **Microsoft Teams** », a déclaré **SEAL**. Ces faux liens de réunion sont utilisés pour servir des leurres de type ClickFix, entraînant l'exécution de malwares qui contactent un serveur contrôlé par l'attaquant pour le vol de données et des activités d'exploitation ciblées sur Windows, macOS et Linux. « Les opérateurs n'agissent délibérément pas immédiatement après l'accès initial. L'implant reste dormant ou passif pendant une période suivant la compromission », a ajouté **SEAL**. « La cible reprogramme généralement l'appel échoué et reprend ses opérations normales, ignorant que l'appareil est compromis. Cette patience prolonge la fenêtre opérationnelle et maximise la valeur extraite avant que toute réponse à incident ne soit déclenchée. » ### Déclaration de Microsoft Dans une déclaration partagée avec The Hacker News, **Microsoft** a déclaré que les acteurs de la menace nord-coréens motivés financièrement font évoluer activement leur boîte à outils et leur infrastructure, utilisant des domaines usurpant l'identité d'institutions financières américaines et d'applications de visioconférence pour l'ingénierie sociale. « Ce que nous constatons de manière constante, c'est une évolution continue dans la manière dont les acteurs motivés financièrement liés à la RPDC opèrent, des changements dans les outils, l'infrastructure et le ciblage, mais avec une continuité claire dans le comportement et l'intention », a déclaré Sherrod DeGrippo, directeur général de la veille stratégique sur les menaces chez **Microsoft**.