Security

Microsoft alerte sur le malware Contagious Interview

3 min de lecture

Résumé

Microsoft alerte sur la campagne « Contagious Interview », active depuis au moins décembre 2022, qui piège des développeurs via de faux recrutements, des dépôts de code piégés et des packages NPM trojanisés pour obtenir un accès initial aux environnements d’entreprise. Cette menace est importante car elle exploite la confiance liée au processus d’embauche et vise des profils disposant souvent d’accès sensibles au code source, aux pipelines CI/CD, au cloud et à des secrets critiques.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Les dernières recherches de Microsoft sur les menaces mettent en évidence un risque croissant pour les organisations qui emploient des développeurs logiciels : les attaquants détournent désormais le processus de recrutement lui-même comme vecteur d’accès initial. La campagne Contagious Interview montre comment les entretiens techniques, les coding challenges et la prise de contact par des recruteurs peuvent être instrumentalisés pour compromettre des endpoints de développeurs qui ont souvent accès au code source, aux pipelines CI/CD, aux environnements cloud et à des secrets privilégiés.

Quoi de neuf

Microsoft indique que la campagne est active depuis au moins décembre 2022 et qu’elle est toujours détectée dans les environnements clients. L’opération cible principalement les développeurs chez des fournisseurs de solutions d’entreprise ainsi que dans des entreprises des médias et des communications.

Les principales tactiques observées incluent :

  • Fausse prise de contact par des recruteurs se faisant passer pour des entreprises de cryptomonnaie ou d’IA
  • Repositories de code malveillants hébergés sur GitHub, GitLab ou Bitbucket
  • Packages NPM trojanisés utilisés dans le cadre de tests à réaliser chez soi ou de coding tests
  • Abus des tâches Visual Studio Code, où le fait de faire confiance à l’auteur d’un repository peut déclencher des fichiers de configuration de tâches malveillants
  • Commandes à copier-coller et exécuter présentées comme des correctifs à des problèmes techniques mis en scène sur de faux sites d’entretien

Microsoft a également observé plusieurs charges utiles et backdoors associées à la campagne :

  • Invisible Ferret : une backdoor basée sur Python utilisée pour l’exécution de commandes à distance, la reconnaissance et la persistance
  • FlexibleFerret : une backdoor modulaire disponible en variantes Go et Python, prenant en charge le C2 chiffré, le chargement de plugins, l’exfiltration, la persistance et le mouvement latéral

Pourquoi c’est important pour les administrateurs IT

Cette campagne est notable parce qu’elle cible les utilisateurs pendant un processus métier à forte confiance et forte pression. Les développeurs sont plus susceptibles d’exécuter du code, d’installer des dépendances ou de faire confiance à des repositories lorsqu’ils pensent participer à un entretien légitime.

Pour les défenseurs, le risque est important :

  • Les machines des développeurs stockent souvent des clés API, des identifiants cloud, des certificats de signature et des données de gestionnaires de mots de passe
  • Des endpoints compromis peuvent conduire au vol de code source, à la compromission de pipelines ou à un accès cloud plus large
  • Les attaquants s’appuient sur des outils et workflows légitimes, ce qui rend la détection plus difficile qu’avec les méthodes traditionnelles de diffusion de malware

Prochaines étapes recommandées

Les organisations doivent considérer les workflows de recrutement comme faisant partie de leur surface d’attaque.

Actions immédiates

  • Exiger que les coding tests et les exercices à réaliser chez soi soient effectués dans des environnements isolés et non persistants, tels que des VM jetables
  • Interdire l’exécution de code fourni par des recruteurs sur les postes de travail professionnels principaux
  • Examiner tout repository externe avant d’exécuter des scripts, des tâches ou des installations de dépendances
  • Former les développeurs à identifier les signaux d’alerte, tels que des liens raccourcis, de nouveaux comptes de repo, des étapes de configuration inhabituelles ou des demandes invitant à faire confiance à des auteurs inconnus

Contrôles de sécurité à examiner

  • S’assurer que la protection contre les falsifications, l’AV en temps réel et les mises à jour des endpoints sont activés
  • Restreindre les scripts et runtimes tels que Node.js, Python et PowerShell lorsque cela est possible
  • Envisager un contrôle des applications pour bloquer l’exécution depuis les dossiers Downloads et temporaires
  • Surveiller les modèles de téléchargement puis exécution, les comportements suspects de repositories et le trafic sortant vers des hôtes à faible réputation
  • Réduire l’exposition des secrets grâce à des identifiants de courte durée, un stockage basé sur un vault et la MFA

Contagious Interview rappelle que les attaques modernes exploitent de plus en plus les workflows métier, et pas seulement les vulnérabilités logicielles. Pour les équipes de sécurité, protéger les développeurs signifie désormais aussi sécuriser le processus d’entretien.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.