Dans une étude publiée fin juillet 2025, les chercheurs de Sonatype annoncent avoir détecté une vaste campagne d’espionnage menée au sein des écosystèmes open source. Aux commandes : Lazarus, un groupe cybercriminel affilié à l’État nord-coréen, connu depuis plus d’une décennie pour des détournements spectaculaires de crypto-monnaies au profit du régime de Pyongyang.

Nouveau mode opératoire et nouveaux objectifs ? Le 30 juillet 2025, la société de cybersécurité américaine Sonatype a publié un rapport pour alerter la communauté open source. En à peine 7 mois, l’entreprise spécialisée dans la protection de la chaîne logicielle a recensé 234 packages frauduleux, disponibles en téléchargement libre sur les plateformes collaboratives npm et PyPI.

Les travaux de recherche couvrent la période de janvier à juillet 2025 et les chiffres sont alarmants. Plus de 36 000 développeurs auraient téléchargé ces outils frauduleux. Derrière des noms de bibliothèque populaires, ces packages cachent en réalité des implants d’espionnage. Une fois installés, ils sont capables de voler des données sensibles, de créer des comptes privilégiés et de mettre en place des backdoors dans des infrastructures critiques.

Derrière cette campagne savamment orchestrée se cacherait le célèbre groupe Lazarus. Depuis plus d’une décennie, ces hackers nord-coréens ne cessent de se réinventer et d’adapter leurs modes opératoires pour servir les intérêts du pouvoir de Kim-Jong-Un.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée
npm et PyPI sont les deux plateformes de gestion et de distribution de paquets logiciels exploitées par Lazarus dans cette campagne // Source : Sonatype
npm et PyPI sont les deux plateformes de gestion et de distribution de paquets logiciels exploitées par Lazarus dans cette campagne. // Source : Sonatype

L’open source, nouveau terrain de jeu du cyberespionnage

Cette campagne de 2025 marque une évolution importante à la fois dans la méthodologie et dans les objectifs de Lazarus. Plutôt que d’attaquer directement des entreprises ou des infrastructures, le groupe infiltre désormais l’écosystème open source à sa racine.

Leur technique consiste à publier des paquets malveillants supposément utiles pour des langages de programmation très populaires comme Javascript (via npm) et Python (via Pypi), des bibliothèques sur lesquelles des millions de développeurs du monde entier vont piocher chaque jour des fonctions indispensables à leurs projets.

En s’intégrant à la conception même des logiciels, ces packages malveillants transforment la chaîne d’approvisionnement en véritable cheval de Troie. Une campagne cybercriminelle qui repose sur la confiance des développeurs en ces plateformes de téléchargement, mais également sur l’automatisation des systèmes d’intégration (CI/CD). Des milliers de projets pourraient insidieusement être infectés.

Autre point critique de la furtivité de ces attaques : la capacité des logiciels malveillants à rester invisibles sur de très longues périodes. Cette caractéristique permet à Lazarus d’espionner sur le long terme des infrastructures sensibles.

Qui est le groupe Lazarus ?

Lazarus, aussi connu sous le nom d’Hidden Cobra, est l’un des groupes APT les plus redoutés au monde. Il est très régulièrement affilié au Bureau général de reconnaissance nord-coréen, une structure en charge des opérations de renseignement du régime.

Les accusations contre le groupe cybercriminel s’accumulent sur plus d’une décennie au gré d’actions spectaculaires : piratage de Sony Pictures en 2014, braquage de la banque centrale du Bangladesh en 2016, et déploiement du ransomware WannaCry en 2017, qui a paralysé des milliers d’organisations à l’échelle mondiale.

Si le vol de crypto-monnaies reste un axe historique (avec par exemple le détournement de 1,5 milliard de dollars sur ByBit en 2025), Lazarus semble désormais s’orienter vers des stratégies d’infiltration à plus long terme, à l’image des dernières révélations de Sonatype sur l’exploitant des réseaux open source.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !