Global (Ciblage International, Acteur Nord-Coréen)

🔍 Contexte Publié le 14 avril 2026 par Vladimir Pezo (ReversingLabs), cet article de recherche documente la campagne PromptMink, une opération de compromission de la chaîne d’approvisionnement logicielle attribuée au groupe nord-coréen Famous Chollima, active depuis septembre 2025 sur npm et PyPI. 🎯 Mécanisme d’attaque La campagne repose sur une architecture à deux couches : Couche 1 (leurre) : Packages npm légitimes en apparence ciblant les développeurs Web3/Solana (ex: @solana-launchpad/sdk, @meme-sdk/trade). Ces packages ne contiennent pas de code malveillant mais importent des dépendances de couche 2. Couche 2 (payload) : Packages malveillants remplaçables rapidement une fois détectés (ex: @validate-sdk/v2, @hash-validator/v2). Ils exfiltrent des secrets depuis l’environnement hôte. Le package principal @validate-sdk/v2 se présente comme un outil de validation de données tout en volant des fichiers .env et .json, des credentials crypto, et des informations système. ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...