L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants.
Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret.
Les attaquants utilisent des techniques de typosquattage pour masquer les packages malveillants derrière des noms familiers et se font passer pour des recruteurs sur LinkedIn pour inciter les développeurs à exécuter le code malveillant. Les packages ciblent les développeurs en quête d’emploi, les incitant à exécuter des tâches de codage qui incluent des dépendances malveillantes.
Cette campagne met en évidence une évolution des tactiques de la chaîne d’approvisionnement nord-coréenne, combinant ingénierie sociale et ciblage basé sur l’OSINT pour compromettre les développeurs. L’article sert d’analyse technique approfondie de la menace et de ses implications pour la sécurité des chaînes d’approvisionnement.
🧠 TTP et IOC détecté
TTP
T1195.002 - Supply Chain Compromise: Compromise Software Dependencies and Development Tools, T1566.002 - Phishing: Spearphishing via Service, T1078 - Valid Accounts, T1059 - Command and Scripting Interpreter, T1203 - Exploitation for Client Execution, T1027 - Obfuscated Files or Information
IOC
HexEval, BeaverTail, InvisibleFerret, typosquatting techniques, LinkedIn profiles impersonating recruiters
🔗 Source originale : https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages