Attaque supply chain npm Mastra AI attribuée au groupe nord-coréen Sapphire Sleet

🎯 Contexte

Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff.

🔓 Vecteur d’attaque initial

Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra.

📦 Mécanisme de compromission

Les packages malveillants injectaient une dépendance nommée “easy-day-js”, un typosquat de la bibliothèque JavaScript légitime dayjs. À l’installation :

• Un hook post-install exécutait un script dropper obfusqué
• La vérification TLS était désactivée
• Une connexion vers une infrastructure C2 contrôlée par les attaquants était établie
• Un payload de second niveau était téléchargé et exécuté en processus détaché et caché

🦠 Payload de second niveau : infostealer multiplateforme

Le payload téléchargé est un infostealer multiplateforme ciblant Windows, Linux et macOS. Il collectait :

• Informations système (host, historique navigateur, applications installées, processus)
• 166 extensions de portefeuilles crypto (MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink)
• Credentials, clés API, tokens d’authentification

Mécanismes de persistance selon l’OS :

• Windows : Registry Run keys
• macOS : LaunchAgents
• Linux : systemd services

🔗 Activité post-compromission

Sur les systèmes ayant communiqué avec les C2, Microsoft a observé :

• Déploiement d’un backdoor PowerShell préalablement associé à Sapphire Sleet
• Mécanismes de persistance additionnels
• Exclusions Microsoft Defender
• Un service Windows malveillant accordant des privilèges SYSTEM

🌐 Attribution et contexte

Microsoft attribue cette activité avec haute confiance à Sapphire Sleet, acteur étatique nord-coréen ciblant principalement le secteur financier. Le groupe est également responsable d’une attaque supply chain distincte contre le client HTTP Axios en avril 2026.

📰 Type d’article

Article de presse spécialisée rapportant une attribution officielle par Microsoft d’une attaque supply chain npm à un acteur étatique nord-coréen, avec détail technique des mécanismes d’attaque.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Sapphire Sleet (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• BlueNoroff (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
• T1078 — Valid Accounts (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1553.004 — Subvert Trust Controls: Install Root Certificate (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1543.003 — Create or Modify System Process: Windows Service (Persistence)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
• T1543.002 — Create or Modify System Process: Systemd Service (Persistence)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1555 — Credentials from Password Stores (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1082 — System Information Discovery (Discovery)
• T1518 — Software Discovery (Discovery)
• T1134.002 — Access Token Manipulation: Create Process with Token (Privilege Escalation)

IOC

• Fichiers : easy-day-js

Malware / Outils

• easy-day-js (loader)
• PowerShell backdoor (backdoor)
• Mastra infostealer (stealer)

🟡 Indice de vérification factuelle : 61/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 3514 chars — texte complet (15pts)
• ✅ 1 IOC(s) (6pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 18 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : Sapphire Sleet, BlueNoroff (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/

🖴 Archive : https://web.archive.org/web/20260622071000/https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/