Global (Ciblage International, Acteur Nord-Coréen) on CyberVeille https://cyberveille.ch/pays/global-ciblage-international-acteur-nord-cor%C3%A9en/ Recent content in Global (Ciblage International, Acteur Nord-Coréen) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 09 May 2026 00:00:00 +0000 PromptMink : Famous Chollima cible les agents IA de trading crypto via npm malveillant https://cyberveille.ch/posts/2026-05-09-promptmink-famous-chollima-cible-les-agents-ia-de-trading-crypto-via-npm-malveillant/ Sat, 09 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-09-promptmink-famous-chollima-cible-les-agents-ia-de-trading-crypto-via-npm-malveillant/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 14 avril 2026 par Vladimir Pezo (ReversingLabs), cet article de recherche documente la campagne <strong>PromptMink</strong>, une opération de compromission de la chaîne d&rsquo;approvisionnement logicielle attribuée au groupe nord-coréen <strong>Famous Chollima</strong>, active depuis septembre 2025 sur npm et PyPI.</p> <h2 id="-mécanisme-dattaque">🎯 Mécanisme d&rsquo;attaque</h2> <p>La campagne repose sur une <strong>architecture à deux couches</strong> :</p> <ul> <li><strong>Couche 1 (leurre)</strong> : Packages npm légitimes en apparence ciblant les développeurs Web3/Solana (ex: <code>@solana-launchpad/sdk</code>, <code>@meme-sdk/trade</code>). Ces packages ne contiennent pas de code malveillant mais importent des dépendances de couche 2.</li> <li><strong>Couche 2 (payload)</strong> : Packages malveillants remplaçables rapidement une fois détectés (ex: <code>@validate-sdk/v2</code>, <code>@hash-validator/v2</code>). Ils exfiltrent des secrets depuis l&rsquo;environnement hôte.</li> </ul> <p>Le package principal <code>@validate-sdk/v2</code> se présente comme un outil de validation de données tout en volant des fichiers <code>.env</code> et <code>.json</code>, des credentials crypto, et des informations système.</p> Sapphire Sleet : campagne macOS sophistiquée ciblant cryptomonnaies via ingénierie sociale https://cyberveille.ch/posts/2026-04-16-sapphire-sleet-campagne-macos-sophistiquee-ciblant-cryptomonnaies-via-ingenierie-sociale/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-sapphire-sleet-campagne-macos-sophistiquee-ciblant-cryptomonnaies-via-ingenierie-sociale/ <h2 id="-contexte">🔍 Contexte</h2> <p>Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d&rsquo;une campagne macOS attribuée à <strong>Sapphire Sleet</strong>, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain.</p> <h2 id="-vecteur-daccès-initial">🎯 Vecteur d&rsquo;accès initial</h2> <p>L&rsquo;attaque repose sur de l&rsquo;<strong>ingénierie sociale</strong> et non sur des vulnérabilités logicielles. L&rsquo;acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d&rsquo;emploi, puis les dirige vers le téléchargement d&rsquo;un fichier malveillant nommé <strong><code>Zoom SDK Update.scpt</code></strong> — un AppleScript compilé s&rsquo;ouvrant dans Script Editor, application Apple de confiance.</p>