Pirates nord-coréens infiltrent la cryptosphère : des sociétés américaines fantômes pour piéger les développeurs

Pyongyang frappe encore—cette fois en usurpant l’identité d’entreprises US pour cibler les talents blockchain. Méthode éprouvée : offres d’emploi trop belles pour être vraies, contrats open-source empoisonnés.

Leur but ? Voler des portefeuilles cryptos ou saboter des protocoles—une spécialité locale depuis le fiasco Axie Infinity. Les victimes ? Des devs en quête de salaires en stablecoins—ironie cruelle quand on connaît la volatilité du secteur.

PSA pour l’écosystème : vérifiez vos partenaires comme vous vérifiez les smart contracts. Même Wall Street fait plus de due diligence avant de lancer un ETF foireux.

Blocknovas et Softglide ont utilisé des annonces de travail pour glisser les logiciels malveillants aux développeurs cryptographiques

Une fois lancés, les fichiers ont tenté de récolter les clés de portefeuille de crypto-monnaie, les mots de passe et d’autresdentqui pourraient plus tard aider à pénétrer dans les échanges ou les entreprises technologiques.

Le rapport non publié de la société confirme «plusieurs victimes», la plupart d’entre elles ont approché par le biais de Blocknovas, que les chercheurs décrivent comme «de loin les plus actifs» des trois fronts.

Les dossiers d’État montrent que Blocknovas a été enregistré au Nouveau-Mexique le 27 septembre 2023. Ses documents répertorie une adresse postale à Warrenville, en Caroline du Sud, que Google Maps montre comme un terrain vide.

L’incorporation de Softglide dans tracde New York à un petit bureau de préparation fiscale à Buffalo. Il n’y avait pas tracdes personnes dont les noms apparaissent dans l’un ou l’autre des dépôts.

Les responsables américains disent que le modèle correspond à une poussée plus large nord-coréenne pour augmenter la monnaie dure. Les experts de Washington, Séoul et des Nations Unies ont longtemps accusé Pyongyang d’avoir volé la crypto et d’envoyer des milliers de travailleurs de la technologie de l’information à l’étranger pour financer le programme de missiles nucléaires du pays.

La gestion d’une entreprise contrôlée par la Corée du Nord à l’intérieur des États-Unis brise les sanctions imposées par le Bureau du Contrôle des actifs étrangers du Département du Trésor (OFAC). Il viole les mesures du Conseil de sécurité de l’ONU que les activités commerciales interdites au profit de l’État ou de l’armée nord-coréen.

Les fichiers de travail à base de logiciels malveillants sont liés au groupe Lazare

Le secrétaire d’État du Nouveau-Mexique a déclaré dans un e-mail que Blocknovas avait été déposé via le système domestique-LLC en ligne à l’aide d’un agent enregistré et a semblé respecter les règles de l’État. "Il n’y aurait aucun moyen que notre bureau connaisse son lien avec la Corée du Nord", a écrit un représentant.

Les enquêteurs relient l’activité à un sous-groupe du groupe Lazare, une équipe de piratage d’élite qui répond au Bureau général de reconnaissance, le principal bras de l’intelligence étrangère de Pyongyang.

Poussière silencieuse, jedentlancé au moins trois familles de logiciels malveillants auparavant connues dans les fichiers d’emploi malveillants. Les outils peuvent extraire des données des machines infectées, ouvrir des portes pour une intrusion supplémentaire et télécharger un code d’attaque supplémentaire, un livre de jeu souvent vu dans les activités passées de Lazare.

Pour l’instant, le domaine de Blocknovas se situe sous les crises fédérales, le site Web de Softglide est hors ligne et les pages de l’Ageloper Agency Retourt les erreurs. Mais les enquêteurs préviennent que de nouveaux alias peuvent apparaître rapidement.

"Cette opération illustre la menace en constante évolution posée par les cyber-acteurs de la RPDC", a déclaré le FBI dans son communiqué, exhortant les professionnels de la technologie à examiner les offres d’emploi non sollicitées et à signaler toute sensibilisation suspecte.

Cryptopolitan Academy: Vous voulez développer votre argent en 2025? Apprenez à le faire avec DeFi dans notre prochaine webclass. Enregistrez votre place