Des Hackeurs Nord-Coréens Ciblent les Grandes Entreprises de Crypto avec des Logiciels Malveillants Dissimulés dans des Candidatures

Un groupe de hackeurs nord-coréens cible les professionnels de la crypto avec un logiciel malveillant basé sur Python, dissimulé dans de fausses offres d'emploi, ont révélé les chercheurs de Cisco Talos plus tôt cette semaine.

La plupart des victimes semblent basées en Inde, selon des signaux open-source, et seraient des individus ayant une expérience préalable dans des startups blockchain et crypto.

Bien que Cisco n'ait pas trouvé de preuve de compromission interne, le risque global reste évident : ces tentatives visent à accéder aux entreprises que ces individus pourraient rejoindre.

Le logiciel malveillant, nommé PylangGhost, est une nouvelle variante du cheval de Troie GolangGhost précédemment documenté, et partage la plupart des mêmes fonctionnalités — simplement réécrit en Python pour mieux cibler les systèmes Windows.

Les utilisateurs Mac restent affectés par la version Golang, tandis que les systèmes Linux semblent épargnés. Le groupe à l'origine de cette campagne, connu sous le nom de Famous Chollima, est actif depuis mi-2024 et serait lié à la Corée du Nord.

Leur dernière méthode d'attaque est simple : usurper des entreprises crypto de premier plan comme Coinbase, Robinhood et uniswap via de faux sites de recrutement sophistiqués, et attirer des ingénieurs logiciels, marketeurs et designers à compléter des « tests de compétences » fictifs.

Une fois les informations de base et les réponses techniques fournies, les cibles sont invitées à installer de faux pilotes vidéo en collant une commande dans leur terminal, ce qui télécharge et exécute discrètement le cheval de Troie Python.

La charge malveillante est cachée dans un fichier ZIP comprenant l'interpréteur Python renommé (nvidia.py), un script Visual Basic pour décompresser l'archive, et six modules core responsables de la persistance, de l'empreinte système, du transfert de fichiers, de l'accès à distance et du vol de données navigateur.

Le cheval de Troie récupère identifiants, cookies de session et données de portefeuille depuis plus de 80 extensions, dont MetaMask, Phantom, TronLink et 1Password.

Les commandes permettent un contrôle à distance complet des machines infectées, incluant transferts de fichiers, reconnaissance système et lancement de shell — le tout routé via des paquets HTTP chiffrés en RC4.

Les paquets HTTP chiffrés en RC4 sont des données envoyées sur internet et brouillées via une méthode de chiffrement obsolète (RC4). Bien que la connexion ne soit pas sécurisée (HTTP), les données sont chiffrées, mais faiblement, RC4 étant dépassé et facilement crackable aujourd'hui.

Malgré sa réécriture, la structure et les conventions de nommage de PylangGhost reflètent presque exactement celles de GolangGhost, suggérant une même origine, selon Cisco.

— Traduit par N3kr0