Le groupe de piratage nord-coréen Sapphire Sleet a mené une attaque récente contre la chaîne d’approvisionnement de Mastra AI. Cette campagne a compromis plus de 140 paquets npm, selon l’analyse de Microsoft. Ce groupe est également identifié sous le nom de BlueNoroff.
Microsoft a indiqué dans une mise à jour du 19 juin que ce travail provenait avec un haut degré de confiance de cet acteur étatique, qui cible principalement le secteur financier. Cette attribution fait suite à une première divulgation par l’entreprise d’une compromission de compte de mainteneur npm.
L’attaque a débuté quand les auteurs de la menace ont piraté le compte du mainteneur npm nommé « ehindero ». Ce compte disposait de privilèges de publication sur l’ensemble de l’environnement des paquets Mastra. Les pirates ont profité de cet accès pour publier des mises à jour malveillantes pour plus de 140 paquets dans le scope @mastra. Ces mises à jour injectaient une dépendance nuisible appelée « easy-day-js ». Cette dépendance constitue un cas de typosquattage de la bibliothèque JavaScript légitime et très répandue, dayjs.
L’installation des paquets compromis lançait un hook post-installation qui déployait un dropper de malware sur les machines des développeurs. L’objectif final était de voler des identifiants sensibles, des clés d’API, des jetons d’authentification et des portefeuilles de cryptomonnaie. Le script dropper, qui était obfusqué, désactivait d’abord la vérification des certificats TLS, puis contactait une infrastructure de commande et contrôle contrôlée par les attaquants. Il téléchargeait ensuite une charge utile de seconde étape et l’exécutait comme un processus caché et détaché.
Un malware multiplateforme pour viser les portefeuilles crypto
La charge utile téléchargée était un voleur d’informations multiplateforme conçu pour les systèmes Windows, Linux et macOS.
Ce logiciel malveillant collectait des informations sur l’hôte, comme l’historique du navigateur, les applications installées et les processus en cours d’exécution. Il vérifiait aussi si 166 extensions de navigateur pour portefeuilles de cryptomonnaie étaient installées. Parmi celles-ci figuraient MetaMask, Phantom, Coinbase Wallet, Binance Wallet et TronLink.
Le malware employait différentes méthodes de persistance selon le système d’exploitation. Il utilisait par exemple les clés de registre Run sur Windows, les LaunchAgents sur macOS et les services systemd sur Linux.
Source : Microsoft
Les systèmes qui ont communiqué avec les serveurs de commande et contrôle des attaquants ont montré une activité subséquente. Cette activité emploie des tactiques déjà reliées à Sapphire Sleet dans le passé.
Cela inclut le déploiement d’un backdoor PowerShell que le groupe a déjà utilisé, des mécanismes de persistance additionnels, des exclusions pour Microsoft Defender, et un service Windows malveillant qui accordait les privilèges SYSTEM. Microsoft précise que ce backdoor PowerShell, les techniques opérationnelles et l’infrastructure de commande et contrôle ont été employés par Sapphire Sleet lors d’autres campagnes antérieures.
Sapphire Sleet est un acteur de menace soutenu par l’État nord-coréen. Il est connu pour ses campagnes de vol de cryptomonnaies, ses extensions de navigateur malveillantes, ses fausses offres d’emploi et ses compromissions de chaîne d’approvisionnement logicielle. Ces actions visent à dérober des identifiants et des actifs en cryptomonnaie.
Microsoft rapporte que ce groupe est aussi responsable d’une autre attaque contre la chaîne d’approvisionnement npm, qui ciblait le client HTTP Axios en avril 2026.