Emplois en Crypto en Danger : Les Hackers Nord-Coréens Frappent à Nouveau Avec un Nouveau Malware
Selon Cisco Talos, un groupe aligné avec la Corée du Nord a intensifié ses efforts pour cibler les chercheurs d'emploi dans le secteur crypto en Inde avec un nouveau cheval de Troie d'accès distant basé sur Python.
La campagne utilise de faux sites d'emploi et des entretiens simulés pour piéger les candidats et les amener à exécuter du code malveillant. Les victimes finissent par divulguer les clés de leurs portefeuilles et gestionnaires de mots de passe.
Plateformes d'Emploi Trompeuses
Les chercheurs d'emploi sont attirés par des offres imitant des grands noms comme Coinbase, Robinhood et Uniswap. Les recruteurs les contactent via LinkedIn ou email. Ils invitent les candidats sur un site de « test de compétences ». Cela semble inoffensif au premier abord. En réalité, le site collecte des informations système et des données de navigation.
Processus d'Entretien Trompeur
Après le test, les candidats rejoignent un entretien vidéo en direct. On leur demande de mettre à jour leurs pilotes de caméra. Rapidement, ils copient-collent des commandes dans un terminal. Un clic suffit pour installer PylangGhost. Le schéma se déroule sans accroc—jusqu'à ce que le malware prenne le contrôle.
PylangGhost est une variante de l'outil GolangGhost. Une fois activé, il vole les cookies et mots de passe de plus de 80 extensions navigateur, dont MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink et MultiverseX.
Le cheval de Troie ouvre ensuite une porte dérobée pour un contrôle à distance. Il peut capturer des écrans, gérer des fichiers, voler des données de navigation et rester caché sur le système.
Les hackers nord-coréens ont utilisé un faux test de recrutement en avril avant le vol de 1,4 milliard de dollars sur Bybit. Ils ont aussi employé des PDF infectés et des liens malveillants.
Ce groupe—connu sous le nom de Famous Chollima ou Wagemole—a volé des millions via des piratages de portefeuilles crypto depuis 2019. Leur objectif est simple : obtenir des identifiants valides et transférer discrètement les fonds.
Mesures de Réponse de l'IndustrieLes équipes de sécurité sont en alerte. Elles recommandent de vérifier chaque URL pour des fautes d'orthographe et des domaines suspects. Les experts conseillent de valider les offres d'emploi via des canaux de confiance.
Les outils de détection doivent signaler tout script contactant des serveurs distants. Et l'authentification multi-facteurs peut bloquer l'accès avec des mots de passe volés.
Cette alerte montre jusqu'où les acteurs étatiques iront pour voler des actifs crypto. Le mélange d'ingénierie sociale et de malware sur mesure est un risque majeur. Tout chercheur d'emploi dans la blockchain doit vérifier chaque LIEN et ne jamais exécuter de code non vérifié.
Garder les portefeuilles matériels hors ligne et utiliser des profils séparés pour la recherche d'emploi réduit les risques. La vigilance dans le processus d'embauche et des contrôles techniques solides restent la meilleure défense contre ces menaces évolutives.
Image en vedette de Shutterstock, graphique de TradingView
Traduit par Byt3L0rd
