3 min de lecture
1 700 paquets piégés : la Corée du Nord infiltre tous les grands registres open source
La campagne Contagious Interview nord-coréenne a semé 1 700 paquets malveillants sur npm, PyPI, Go, Rust et PHP. L'opération cible les développeurs via de faux entretiens et a compromis Axios.
1 700 paquets piégés : la Corée du Nord infiltre tous les grands registres open source
Depuis janvier 2025, des acteurs liés à la Corée du Nord ont publié plus de 1 700 paquets malveillants sur les cinq principaux registres de l'écosystème open source : npm, PyPI, Go, Rust et PHP. La campagne, baptisée "Contagious Interview", a été documentée dans son ampleur réelle par la firme de sécurité Socket le 8 avril 2026. Le bilan : plus de 31 000 téléchargements de code compromis, et une infrastructure d'attaque qui n'a cessé de progresser depuis plus d'un an.
Une montée en puissance sur cinq écosystèmes
La particularité de Contagious Interview tient à son étendue. Pendant longtemps, les attaques sur les chaînes d'approvisionnement logicielles se concentraient sur un seul registre, le plus souvent npm. L'opération nord-coréenne a méthodiquement élargi son périmètre : PyPI (Python), le registre Go, crates.io (Rust) et Packagist (PHP) ont tous été touchés depuis 2025.
La technique de base reste le typosquatting : publier des paquets dont le nom imite de près une bibliothèque populaire, en espérant que des développeurs pressés l'installent sans vérification préalable. Mais l'opération ne s'est pas limitée à cette méthode. Le cas le plus marquant reste la compromission d'Axios. Le 31 mars 2026, deux versions malveillantes du paquet npm ont été publiées après la prise de contrôle du compte d'un mainteneur légitime. Axios est utilisé dans des dizaines de millions de projets JavaScript. La fenêtre d'exposition, même brève, a potentiellement touché un nombre impossible à quantifier de bases de code.
Les paquets injectent deux types de charges : des infostealers, qui collectent identifiants et clés API stockés localement, et des trojans d'accès à distance (RAT), qui permettent aux attaquants de maintenir un accès persistant aux machines compromises.
Le vecteur social : la fausse invitation à un entretien
Derrière l'opération technique, une ingénierie sociale bien rodée. Le groupe désigné UNC1069, qui recoupe plusieurs noms d'attribution (BlueNoroff, Sapphire Sleet, Stardust Chollima), cible des développeurs actifs sur LinkedIn, Telegram et des plateformes de recrutement spécialisées.
Le scénario est identique dans la plupart des cas documentés : un "recruteur" prend contact, propose un poste attractif, puis envoie un test technique à réaliser en conditions réelles. Ce test contient un paquet npm ou PyPI malveillant que le développeur est invité à installer localement pour le faire fonctionner. L'installation se fait en dehors des pipelines d'intégration continue, ce qui contourne la plupart des systèmes de détection automatisés.
L'objectif de la campagne est double, selon les analystes : espionnage industriel ciblant les entreprises tech et de défense, et vol de cryptomonnaies pour financer le régime de Pyongyang. Cette combinaison explique la persistance et les ressources consacrées à l'opération depuis plus d'un an.
Ce que ça signifie pour vous
La montée en puissance de Contagious Interview pointe plusieurs failles structurelles que la communauté open source peine à résoudre. Les registres npm, PyPI ou Go Modules ne disposent pas de vérification d'identité forte pour leurs mainteneurs : la compromission d'un seul compte suffit à publier du code malveillant sous une identité de confiance établie.
Quelques mesures réduisent l'exposition. Vérifier l'historique de publication et le nombre de téléchargements d'un paquet avant installation reste un filtre utile, imparfait mais rapide. Les outils de Software Composition Analysis comme Socket, Snyk ou Grype détectent une partie des anomalies. L'activation de l'authentification à deux facteurs sur les comptes de mainteneurs est un minimum non négociable, et plusieurs registres envisagent de le rendre obligatoire.
Mais la vraie limite est organisationnelle : aucun développeur ne peut valider manuellement chaque dépendance d'un projet moderne, qui en compte souvent plusieurs centaines. Face à une campagne aussi bien financée et aussi patiente, la vigilance individuelle ne peut pas tout. La réponse devra passer par des standards de sécurité renforcés au niveau des registres eux-mêmes.
Sources : The Hacker News · Security Online · Help Net Security · Security Buzz