Des hackers parrainés par l’État nord-coréen soupçonnés d’avoir attaqué la chaîne d’approvisionnement de JumpCloud.

Les conclusions proviennent de SentinelOne, qui a cartographié l’infrastructure relative à l’intrusion afin de découvrir des schémas sous-jacents. Il convient de noter que la semaine dernière, JumpCloud a attribué l’attaque à un « acteur de menace sophistiqué parrainé par un État-nation ».

« Les acteurs de la menace nord-coréenne font preuve d’un haut niveau de créativité et de conscience stratégique dans leurs stratégies de ciblage », a déclaré Tom Hegel, chercheur en sécurité chez SentinelOne, à The Hacker News. « Les résultats de la recherche révèlent une approche fructueuse et à multiples facettes employée par ces acteurs pour infiltrer les environnements des développeurs.

« Ils cherchent activement à accéder aux outils et aux réseaux qui peuvent servir de passerelles vers des opportunités plus importantes. Leur tendance à exécuter plusieurs niveaux d’intrusion dans la chaîne d’approvisionnement avant de s’engager dans un vol à motivation financière est remarquable. »

Dans le même ordre d’idées, CrowdStrike, qui collabore avec JumpCloud pour enquêter sur l’incident, a attribué l’attaque à un acteur nord-coréen connu sous le nom de Labyrinth Chollima, un sous-groupe du tristement célèbre Lazarus Group, selon Reuters.

L’infiltration a servi de « tremplin » pour cibler les sociétés de crypto-monnaies, a déclaré l’agence de presse, indiquant une tentative de la part de l’adversaire de générer des revenus illégaux pour le pays frappé par les sanctions.

Ces révélations coïncident également avec une campagne d’ingénierie sociale à faible volume identifiée par GitHub qui cible les comptes personnels d’employés d’entreprises technologiques, en utilisant un mélange d’invitations de dépôt et de dépendances de paquets npm malveillants. Les comptes ciblés sont associés aux secteurs de la blockchain, des crypto-monnaies, des jeux d’argent en ligne ou de la cybersécurité.

La filiale de Microsoft a relié la campagne à un groupe de pirates nord-coréen qu’elle suit sous le nom de Jade Sleet (alias TraderTraitor).
« Jade Sleet cible principalement les utilisateurs associés aux crypto-monnaies et autres organisations liées à la blockchain, mais aussi les fournisseurs utilisés par ces entreprises », a déclaré Alexis Wales de GitHub dans un rapport publié le 18 juillet 2023.

Les chaînes d’attaque impliquent la création de faux personnages sur GitHub et d’autres services de médias sociaux tels que LinkedIn, Slack et Telegram ; bien que dans certains cas, l’acteur de la menace aurait pris le contrôle de comptes légitimes.

Sous le faux nom, Jade Sleet prend contact avec des victimes potentielles en les invitant à collaborer à ce qui semble être un dépôt GitHub inoffensif ; cependant, une fois que les victimes clonent et exécutent son contenu – qui comprend un logiciel leurre avec des dépendances npm malveillantes agissant comme un logiciel malveillant de premier niveau -, il télécharge et exécute des charges utiles de deuxième niveau sur leur machine sans qu’elles le sachent.

Les experts en cybersécurité ont découvert une nouvelle façon pour les pirates de s’introduire dans les réseaux d’entreprise.

Selon un nouveau rapport de l’entreprise de cybersécurité Kaspersky, les pirates utilisent les attaques de la chaîne d’approvisionnement pour s’introduire dans les réseaux d’entreprise.

Lors d’une attaque de la chaîne d’approvisionnement, les pirates ciblent les fournisseurs d’une entreprise ou d’autres vendeurs tiers afin d’accéder au réseau de l’entreprise.

« Nous voyons souvent des pirates utiliser des cibles tierces compromises comme point de pivot pour mener des attaques de la chaîne d’approvisionnement sur des réseaux fructueux », a déclaré Dmitry Hegel de Kaspersky.

Si vous souhaitez vous tenir au courant des dernières nouvelles, idées et conseils en matière de cybersécurité, inscrivez-vous à notre lettre d’information quotidienne gratuite.