Des pirates informatiques nord-coréens exploitent désormais des services de stockage JSON tels que JSON Keeper, JSONsilo et npoint.io pour diffuser discrètement des logiciels malveillants. Cette nouvelle tactique, attribuée aux auteurs de la campagne Contagious Interview, illustre leur capacité à contourner les systèmes de détection en utilisant des plateformes légitimes. Dans un paysage de menaces cyber en constante évolution, comprendre ces techniques est devenu une priorité pour les entreprises souhaitant renforcer leur cybersécurité et protéger les données sensibles de leurs salariés et développeurs.
Des services JSON détournés pour livrer des logiciels malveillants
Des plateformes légitimes utilisées à des fins malveillantes
Selon un rapport publié par les chercheurs en cybersécurité de NVISO, les cybercriminels nord-coréens à l’origine de la série d’attaques Contagious Interview utilisent désormais des services JSON publics pour héberger leurs charges virales. Ces services, conçus à l’origine pour stocker des données structurées, sont détournés pour héberger du code malveillant, évitant ainsi les systèmes de filtrage traditionnels.
Des sites comme GitHub, GitLab ou Bitbucket sont également utilisés pour piéger les victimes avec de faux projets de développement. Une fois intéressées, les cibles téléchargent un projet contenant un script dissimulé, qui récupère une clé API falsifiée pointant en réalité vers une URL JSON contenant un malware obfusqué.
BeaverTail et InvisibleFerret : un duo redoutable
La charge utile principale est un malware JavaScript nommé BeaverTail. Ce code malveillant collecte des données sensibles sur le système infecté et installe une porte dérobée Python appelée InvisibleFerret. Cette dernière a déjà été identifiée par les chercheurs de Palo Alto Networks en 2023.
InvisibleFerret peut également télécharger un outil complémentaire nommé TsunamiKit depuis Pastebin. Cet outil est capable de profiler la machine cible, d’exfiltrer des informations et d’accéder à une adresse .onion codée en dur pour récupérer d’autres charges utiles. Bien que cette adresse soit aujourd’hui hors ligne, elle témoigne du niveau de préparation et de persistance de ces acteurs malveillants.
Une approche sociale et ciblée pour compromettre les développeurs
Ingénierie sociale sur LinkedIn
Les campagnes d’attaque commencent souvent par un contact via LinkedIn. Sous prétexte d’un entretien technique ou d’une collaboration professionnelle, les cybercriminels convainquent leurs cibles – principalement des développeurs – de télécharger des projets fictifs. Cette méthode repose sur l’ingénierie sociale et cible les profils techniques à haut potentiel d’accès aux données sensibles.
Une menace qui vise explicitement l’univers du développement logiciel
Les attaquants cherchent à infecter des développeurs pour exfiltrer des codes sources, des données confidentielles, voire des portefeuilles de cryptomonnaies. Le livre pour apprendre à hacker proposé par CyberCare permet de comprendre les méthodes techniques employées par ces groupes, leur logique d’attaque, et les outils qu’ils déploient. Il constitue une ressource éducative précieuse pour toute personne souhaitant renforcer ses compétences en cybersécurité offensive.
Des infrastructures prêtes à évoluer et se camoufler
Camouflage dans le trafic normal
En exploitant des services comme JSON Keeper ou npoint.io, les cybercriminels évitent les mesures de cybersécurité traditionnelles. Ces plateformes légitimes leur permettent de camoufler leurs opérations dans le flux quotidien de données échangées sur internet, rendant les détections beaucoup plus difficiles. Cette approche démontre leur capacité à s’adapter rapidement aux nouvelles technologies et tactiques de défense.
Un large filet pour maximiser les compromissions
Les chercheurs de NVISO notent que les auteurs de la campagne visent un large éventail de profils dans le monde du développement. Leur objectif est clair : maximiser la compromission d’environnements techniques critiques tout en restant invisibles le plus longtemps possible. Leurs outils – BeaverTail, InvisibleFerret, TsunamiKit, mais aussi Tropidoor et AkdoorTea – leur confèrent une large palette d’actions malveillantes sur les systèmes infectés.
Face à des campagnes aussi sophistiquées, les entreprises doivent investir dans des services de cybersécurité défensive comme ceux proposés par CyberCare pour prévenir les compromissions en amont et former leurs équipes techniques aux nouvelles menaces ciblant les développeurs.
