Attaque de la chaîne d'approvisionnement 3CX (RPDC)

Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.

Le 29 mars 2023, les éditeurs de sécurité CrowdStrike et SentinelOne ont révélé que le 3CXDesktopApp — un client softphone de l'éditeur VoIP 3CX, utilisé par une base de clients que l'entreprise évalue à plus de 600 000 organisations — avait été trojanisé à la source et diffusait du maliciel via une mise à jour signée légitimement. La campagne, baptisée SmoothOperator, a été attribuée au groupe Lazarus nord-coréen et est devenue la première compromission en cascade de la chaîne d'approvisionnement logicielle documentée publiquement.

Ce qui s'est passé

Les attaquants ont compromis l'environnement de build de 3CX et intégré du code malveillant dans les versions Windows et macOS de 3CXDesktopApp. Comme les installateurs trojanisés étaient signés avec le propre certificat légitime de 3CX (émis par Sectigo, horodaté par DigiCert), ils passaient les contrôles de confiance habituels. Les versions Windows affectées incluaient les 18.12.407 et 18.12.416 ; plusieurs builds macOS (18.11.1213, 18.12.402, 18.12.407, 18.12.416) étaient également infectés.

À l'exécution, le maliciel déployait une chaîne en plusieurs étapes : il émettait des balises vers l'infrastructure des attaquants, téléchargeait des fichiers ICO hébergeant des charges utiles encodées en base64 depuis GitHub, puis livrait finalement une DLL de vol d'informations. Dans un nombre plus restreint de cas, Kaspersky a observé une porte dérobée de deuxième étape nommée Gopuram déployée sur des victimes, avec une concentration notable parmi les entreprises de cryptomonnaie — conforme au mandat de vol financier de Lazarus.

La chaîne d'approvisionnement en cascade

En avril 2023, Mandiant — mandaté par 3CX — a retracé le vecteur d'intrusion initial jusqu'à une compromission distincte de la chaîne d'approvisionnement. En 2022, un employé de 3CX avait installé une copie trojanisée de X_TRADER, une application de trading de contrats à terme de Trading Technologies, sur un ordinateur personnel. Cet installateur portait la porte dérobée VEILEDSIGNAL, qui a donné à l'acteur malveillant — suivi sous le nom d'UNC4736 — l'accès à la machine et aux identifiants de l'employé. L'attaquant a ensuite pivoté vers le réseau d'entreprise de 3CX via VPN, s'est déplacé latéralement et a atteint les environnements de build Windows et macOS.

3CX est ainsi devenue la première attaque « en cascade » de la chaîne d'approvisionnement logicielle documentée publiquement : un produit logiciel trojanisé (X_TRADER) utilisé pour compromettre le pipeline de build d'un second produit logiciel (3CXDesktopApp), lui-même distribué aux clients en aval de 3CX.

Impact

Le client softphone de 3CX est utilisé par une base de clients que l'entreprise évalue à plus de 600 000 organisations, avec des millions d'utilisateurs quotidiens — le rayon d'impact potentiel de la mise à jour trojanisée.
Le nombre d'organisations ayant reçu des charges utiles de deuxième étape était bien plus faible et orienté vers les entreprises de cryptomonnaie et de trading financier.
3CX a exhorté les clients à désinstaller l'application de bureau, à basculer vers le client PWA basé sur le navigateur et à reconstruire les systèmes affectés ; elle a reconstruit son pipeline logiciel et mandaté Mandiant pour la remédiation.
CVE-2023-29059 a été attribuée au code malveillant intégré (CWE-506).

Attribution

Mandiant a attribué l'intrusion à UNC4736, un cluster présentant de fortes corrélations avec le groupe Lazarus nord-coréen (alias Hidden Cobra), lui-même associé au Bureau général de reconnaissance de la RPDC et aux campagnes de vol de cryptomonnaie Operation AppleJeus. Le ciblage des entreprises crypto et l'usage de leurres de logiciels de trading sont conformes aux opérations de vol financier de longue date de Lazarus pour le compte de l'État nord-coréen.

Pourquoi c'est important

3CX a cristallisé la menace de la compromission des systèmes de build et de l'abus de la signature de code : la confiance des défenseurs dans la signature d'un éditeur est devenue le vecteur d'attaque. L'incident a aussi introduit le schéma de chaîne d'approvisionnement en cascade — une compromission se propageant d'un fournisseur logiciel à un autre, puis aux clients finaux — qui invalide l'hypothèse selon laquelle vérifier son fournisseur direct suffit. L'incident a accéléré l'adoption par l'industrie des nomenclatures logicielles (SBOM), des contrôles d'intégrité des pipelines de build et des pratiques de builds reproductibles, et a confirmé que même les mises à jour signées et de confiance nécessitent une surveillance comportementale au niveau du terminal.

Chronologie

1 janvier 2022

Un employé de 3CX installe l'application X_TRADER trojanisée (de Trading Technologies) sur un ordinateur personnel ; elle déploie la porte dérobée VEILEDSIGNAL, donnant à UNC4736 un point d'ancrage et les identifiants de l'employé.

3 mars 2023

Un échantillon trojanisé de 3CXDesktopApp est signé numériquement avec un certificat 3CX légitime émis par Sectigo — trois semaines avant la découverte publique.

22 mars 2023

SentinelOne observe une hausse des détections comportementales d'installateurs trojanisés de 3CXDesktopApp, plus tard baptisés « SmoothOperator ».

29 mars 2023

CrowdStrike Falcon OverWatch signale une activité malveillante provenant du binaire 3CXDesktopApp signé légitimement ; 3CX confirme la compromission et l'incident devient public.

30 mars 2023

La CISA publie une alerte sur l'attaque de la chaîne d'approvisionnement visant 3CXDesktopApp ; 3CX exhorte les clients à désinstaller l'application de bureau et à utiliser le client PWA.

11 avril 2023

3CX publie les conclusions intermédiaires de Mandiant attribuant l'intrusion à UNC4736, un cluster lié au groupe Lazarus nord-coréen.

20 avril 2023

Mandiant identifie le vecteur initial comme une compromission antérieure de la chaîne d'approvisionnement du logiciel X_TRADER de Trading Technologies — la première attaque en cascade de la chaîne d'approvisionnement logicielle documentée publiquement.

Sources

cisa.govhttps://www.cisa.gov/news-events/alerts/2023/03/30/supply-chain-attack-against-3cxdesktopapp

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

3cx.comhttps://www.3cx.com/blog/news/mandiant-security-update2/

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/3cx-hack-caused-by-trading-software-supply-chain-attack/

Incidents liés

Chaîne d’approvisionnementContenu13 décembre 2020

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim: SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss: $100.00B

Chaîne d’approvisionnementEn cours11 juin 2026

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim: Arch User Repository (AUR)

Chaîne d’approvisionnementContenu5 juin 2026

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim: Microsoft (GitHub repositories)

Chaîne d’approvisionnementContenu4 juin 2026

Le malware auto-propagateur IronWorm frappe 36 paquets npm (2026)

Des chercheurs ont révélé IronWorm, un voleur d'informations auto-propagateur écrit en Rust qui a compromis 36 paquets npm, dérobant les secrets de développeurs et de pipelines CI puis republiant des paquets piégés à l'aide d'identifiants de publication npm volés.

Victim: npm (registre Node Package Manager)