CyberVeille.ch📝 Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un cha...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-campagne-npm-liee-a-la-dprk-stager-pastebin-avec-steganographie-texte-et-c2-sur-vercel/
🌐 source : https://kmsec.uk/blog/dprk-text-steganography/
#FAMOUS_CHOLLIMA #IOC #Cyberveille
Campagne npm liée à la DPRK: stager Pastebin avec stéganographie texte et C2 sur Vercel
Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel.