S'inscrire

Cybersécurité - 17/07/2026

De faux tests de codage délivrent des logiciels malveillants alignés sur OtterCookie, dissimulés dans des images de drapeaux SVG.

Des acteurs malveillants nord-coréens liés à la campagne « Contagious Interview » ont été observés utilisant la stéganographie dans des fichiers image SVG pour dissimuler des charges utiles malveillantes dans le cadre d’une campagne utilisant de fausses offres d’emploi et des défis de programmation.

« Tout utilisateur ayant exécuté le projet s’est retrouvé avec une charge utile en quatre étapes alignée sur OTTERCOOKIE : un voleur d’identifiants de navigateur et de portefeuille crypto, un voleur de fichiers, un cheval de Troie d’accès à distance (RAT) basé sur Socket.IO et un voleur de presse-papiers », a déclaré Elastic Security Labs dans un rapport partagé avec The Hacker News.

Ces découvertes mettent une fois de plus en lumière le ciblage persistant des développeurs de logiciels par des pirates informatiques affiliés à l’État de la République populaire démocratique de Corée (RPDC), dans le but de voler des données sensibles et de piller des portefeuilles de cryptomonnaies. Cette activité est suivie sous le nom de code REF9403.

La branche cybersécurité de la plateforme néerlandaise de recherche et d’observabilité d’entreprise a déclaré avoir découvert la campagne après que les acteurs malveillants ont ciblé les membres de son espace de travail Slack communautaire avec des leurres d’ingénierie sociale pour de prétendues offres d’emploi, mettant en évidence une nouvelle voie d’accès initiale non documentée auparavant dans les attaques associées à Contagious Interview, une opération d’ingénierie sociale sophistiquée en cours depuis au moins décembre 2022.

Les messages, publiés par un utilisateur nommé Maxwell sur le canal Slack #jobs fin mai 2026, recherchaient un développeur expérimenté pour aider à mettre à niveau leur plateforme de commerce électronique vers une « architecture moderne et évolutive utilisant Next.js (v14), NestJS, PostgreSQL et Auth.js » ainsi que l’intégration de Stripe.

Les personnes ayant manifesté leur intérêt pour l’offre ont été contactées par messages privés leur demandant de réaliser un test de programmation dans le cadre de l’offre d’emploi, une pratique courante des campagnes d’embauche frauduleuses. Ce test consistait à exécuter un dépôt piégé contenant un logiciel malveillant conçu pour exfiltrer des données sensibles et à configurer une porte dérobée Socket.IO.

Plus précisément, les dépôts distribués dans le cadre de ce programme intègrent un code entièrement fonctionnel, mais incorporent également du code malveillant sous forme d’images SVG afin de contourner la détection.

« Bien que ces projets d’apparence légitime fonctionnent parfaitement, le code malveillant s’exécute silencieusement en arrière-plan », a déclaré Elastic. « Les charges utiles sont divisées en fragments Base64 insérés dans des commentaires HTML présents dans chaque image SVG de drapeau d’un répertoire d’actifs. Ces fichiers semblent être des images normales de drapeaux de pays (AE.svg, AF.svg), mais chacun d’eux contient un bloc de commentaires injecté avec des données encodées en Base64. »

/>

La charge utile est ensuite assemblée par un fichier JavaScript (« serverValidation.js ») présent dans le dépôt. La chaîne d’attaque est conçue de manière à ce que le logiciel malveillant s’exécute à chaque démarrage du serveur. Elastic a indiqué que la charge utile principale présente des similitudes avec OtterCookie , un logiciel malveillant multiplateforme apparu pour la première fois en septembre 2024.

« OtterCookie a évolué d’un outil de base permettant d’exécuter des commandes à distance et de rechercher des clés cryptographiques vers un programme modulaire capable de vol de données à plus grande échelle, avec la possibilité de vérifier les environnements de machines virtuelles, d’installer des clients de communication comme socket.io pour le C2, d’exfiltrer des informations, d’exécuter des commandes shell arbitraires, de charger d’autres modules pour collecter des données spécifiques et de rendre compte des résultats », a noté Microsoft en mars dernier.

Le logiciel malveillant intègre quatre modules distincts qui lui permettent de collecter des données à partir de navigateurs Web et de portefeuilles de cryptomonnaies, de collecter des fichiers correspondant à une liste spécifique d’extensions, de faciliter un contrôle à distance persistant à l’aide d’un cheval de Troie basé sur Socket.IO capable d’exécuter des commandes shell, de capturer le contenu du presse-papiers et de déposer des exécutables Windows.

Parmi les fichiers collectés par OtterCookie figurent des extensions d’outils de codage d’intelligence artificielle (IA) telles que .claude, .cursor, .gemini, .windsurf, .pearai et .llama, ce qui suggère que l’acteur malveillant affine activement son arsenal pour aspirer autant d’informations que possible.

Il convient de noter que le logiciel malveillant présente également des similitudes fonctionnelles avec un voleur de données et un cheval de Troie distribués via de faux packages npm se faisant passer pour des outils de polyfill Rollup, ce qui suggère que les acteurs malveillants utilisent plusieurs vecteurs de propagation.

« Cette campagne confirme que les développeurs restent une cible privilégiée, la compromission d’un seul individu pouvant fournir l’accès initial nécessaire à des attaques de grande envergure contre la chaîne d’approvisionnement et les organisations en aval », a déclaré Elastic. « Le succès de ces opérations souligne comment la compromission d’un développeur peut ouvrir la voie à un impact organisationnel beaucoup plus important. »

Sujets récents

CERT-FR CERTFR-2026-ALE-006 ALERTE Multiples vulnérabilités dans Sonicwall Secure Mobile Access (15 juillet 2026) 15/07/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-58644 EXPLOITÉE Microsoft SharePoint Deserialization of Untrusted Data Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2026-25089 EXPLOITÉE Fortinet FortiSandbox OS Command Injection Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-39808 EXPLOITÉE Fortinet FortiSandbox OS Command Injection Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-46817 EXPLOITÉE Oracle E-Business Suite Improper Privilege Management Vulnerability 15/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2023-4346 EXPLOITÉE KNX Association KNX Protocol Connection Authorization Option 1 Overly Restrictive… 15/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-56155 EXPLOITÉE Microsoft Active Directory Federation Services Insufficient Granularity of Access Control… 14/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2026-56164 EXPLOITÉE Microsoft SharePoint Server Missing Authentication for Critical Function Vulnerability 14/07/2026 CERT-FR CERTFR-2026-ALE-006 ALERTE Multiples vulnérabilités dans Sonicwall Secure Mobile Access (15 juillet 2026) 15/07/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-58644 EXPLOITÉE Microsoft SharePoint Deserialization of Untrusted Data Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2026-25089 EXPLOITÉE Fortinet FortiSandbox OS Command Injection Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-39808 EXPLOITÉE Fortinet FortiSandbox OS Command Injection Vulnerability 16/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-46817 EXPLOITÉE Oracle E-Business Suite Improper Privilege Management Vulnerability 15/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2023-4346 EXPLOITÉE KNX Association KNX Protocol Connection Authorization Option 1 Overly Restrictive… 15/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-56155 EXPLOITÉE Microsoft Active Directory Federation Services Insufficient Granularity of Access Control… 14/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2026-56164 EXPLOITÉE Microsoft SharePoint Server Missing Authentication for Critical Function Vulnerability 14/07/2026