Campagne Contagious Interview : malware DPRK caché dans des SVG via stéganographie

🔍 Contexte Publié le 18 juillet 2026 par Elastic Security Labs (auteur : Daniel Stepanic), cet article documente une nouvelle campagne du groupe Contagious Interview, aligné DPRK, trackée sous la référence REF9403. La découverte est issue d’une activité suspecte ciblant directement le workspace Slack communautaire d’Elastic. 🎯 Vecteur d’infection Le 26 mai 2026, un utilisateur fictif nommé Maxwell a publié une fausse offre d’emploi dans le canal #jobs du Slack d’Elastic, proposant un défi de codage. Les victimes recevaient un dépôt trojanisé (projet e-commerce Next.js) à exécuter localement. Les dépôts identifiés incluent : ...

18 juillet 2026 · 4 min

Void Dokkaebi migre InvisibleFerret vers des binaires Cython pour contourner les détections

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

31 mai 2026 · 4 min

Lazarus Group cache un loader malveillant dans des Git hooks pour cibler les développeurs

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

8 mai 2026 · 3 min

HexagonalRodent : le sous-groupe DPRK qui industrialise le vol de crypto via l'IA

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

22 avril 2026 · 4 min

338+ paquets npm malveillants liés à une opération nord-coréenne ciblant les devs Web3

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

13 octobre 2025 · 2 min
Dernière mise à jour le: 18 juillet 2026 📝