Éditeur slovaque de solutions de cybersécurité, ESET a découvert le mois dernier une nouvelle attaque contre une chaîne d'approvisionnement. Elle a concerné l'entreprise BigNox basée à Hong Kong qui propose NoxPlayer, un émulateur Android sur Windows et macOS.

NoxPlayer permet notamment de jouer à des jeux mobiles sur ordinateur. BigNox revendique plus de 150 millions d'utilisateurs dans plus de 150 pays et 20 langues différentes. La majorité des utilisateurs se trouve néanmoins en Asie.

noxplayer

D'après ESET, le mécanisme de mise à jour de NoxPlayer a été compromis pour permettre la distribution de trois familles de malwares.

L'attaque de chaîne d'approvisionnement a touché une API de BigNox et son infrastructure d'hébergement de fichiers. Les attaquants ont altéré l'adresse de téléchargement des mises à jour de NoxPlayer pour diffuser des malwares auprès des utilisateurs.

Des victimes choisies

Selon les données de télémétrie d'ESET avec les utilisateurs équipés de ses solutions de sécurité, les premiers indicateurs de compromission remontent à septembre 2020. Sur plus de 100 000 utilisateurs ayant installé NoxPlayer sur leurs machines, seulement cinq ont reçu une mise à jour malveillante.

En tenant également compte de la nature des malwares, ESET évoque une campagne de cyberespionnage hautement ciblée. A priori, pour recueillir des renseignements sur la communauté des joueurs en Asie. Baptisée NightScout, l'opération aurait surtout fait des victimes à Taïwan, Hong Kong et au Sri Lanka.

À la suite de la publication de son rapport en début de semaine, ESET a reçu aujourd'hui une réponse de BigNox qui déclare avoir pris les mesures nécessaires pour améliorer la sécurité de ses utilisateurs. Initialement, BigNox avait nié une compromission, mais cela aurait été un malentendu.