Les acteurs de la menace nord-coréens liés à la campagne Contagious Interview ont été observés en train de publier un autre ensemble de 67 packages malveillants dans le registre npm, soulignant les tentatives en cours d’empoisonner l’écosystème open source via des attaques de la chaîne d’approvisionnement en logiciels.

Les paquets, par socket, ont généré plus de 17 000 téléchargements et intègrent une version jusqu’alors non documentée d’un chargeur de malware nommé XORIndex . Cette activité s’inscrit dans la continuité d’une vague d’attaques repérée le mois dernier, impliquant la distribution de 35 paquets npm déployant un autre chargeur appelé HexEval.

« L’opération Contagious Interview continue de suivre une dynamique de type « whack-a-mole », où les défenseurs détectent et signalent les packages malveillants, et les acteurs de la menace nord-coréens réagissent rapidement en téléchargeant de nouvelles variantes en utilisant les mêmes manuels, des manuels similaires ou légèrement évolués », a déclaré Kirill Boychenko, chercheur chez Socket .

Contagious Interview est le nom donné à une campagne de longue date visant à inciter les développeurs à télécharger et exécuter un projet open source dans le cadre d’une prétendue mission de codage. Révélée publiquement pour la première fois fin 2023, cette menace est également répertoriée sous les noms de DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 et Void Dokkaebi.

Cette activité est censée compléter le tristement célèbre programme de télétravail des technologies de l’information (TI) de Pyongyang, adoptant la stratégie consistant à cibler les développeurs déjà employés dans les entreprises d’intérêt plutôt que de postuler à un emploi.

Les chaînes d’attaque utilisant des packages npm malveillants sont assez simples dans la mesure où elles servent de conduit à un chargeur et voleur JavaScript connu appelé BeaverTail, qui est ensuite utilisé pour extraire des données des navigateurs Web et des portefeuilles de crypto-monnaie, ainsi que pour déployer une porte dérobée Python appelée InvisibleFerret.

« Les deux campagnes fonctionnent désormais en parallèle. XORIndex a accumulé plus de 9 000 téléchargements dans une courte fenêtre (juin à juillet 2025), tandis que HexEval continue à un rythme soutenu, avec plus de 8 000 téléchargements supplémentaires parmi les packages nouvellement découverts », a déclaré Boychenko.

Le chargeur XORIndex, comme HexEval, profile la machine compromise et utilise des points de terminaison associés à une infrastructure de commande et de contrôle (C2) codée en dur pour obtenir l’adresse IP externe de l’hôte. Les informations collectées sont ensuite transmises à un serveur distant, après quoi BeaverTail est lancé.

Une analyse plus approfondie de ces packages a révélé une évolution constante du chargeur, passant d’un prototype rudimentaire à un malware sophistiqué et furtif. Les premières itérations se sont avérées dépourvues de capacités d’obfuscation et de reconnaissance, tout en conservant leurs fonctionnalités de base. Les versions de deuxième et troisième générations introduisent des capacités rudimentaires de reconnaissance du système.

« Les acteurs de la menace Contagious Interview continueront de diversifier leur portefeuille de logiciels malveillants, en alternant entre de nouveaux alias de mainteneur npm, en réutilisant des chargeurs tels que HexEval Loader et des familles de logiciels malveillants comme BeaverTail et InvisibleFerret, et en déployant activement de nouvelles variantes observées, notamment XORIndex Loader », a déclaré Boychenko.

Cette révélation intervient alors que Safety a révélé que des cybercriminels liés à la Russie ont publié 10 packages npm conçus pour compromettre les systèmes Windows avec une charge utile PowerShell récupérée à partir d’un serveur distant qui, à son tour, fournit un voleur capable de récupérer des données à partir de navigateurs Web et de lancer probablement un mineur de crypto-monnaie.

« Plus inquiétant encore, ils ont également manipulé les mesures de téléchargement de npm pour faire croire que leurs packages ont des millions de téléchargements, conférant une fausse légitimité à leur code malveillant », a déclaré le chercheur en sécurité Paul McCarty .