Alerte Malware : Comment les Pirates Nord-Coréens Piègent les Demandeurs d’Emploi dans la Crypto

Les cybercriminels nord-coréens ont trouvé une nouvelle cible : les professionnels de la crypto en quête d'opportunités. Une campagne sophistiquée utilise des offres d'emploi factices pour infecter les victimes avec des malwares.

Méthode : Des annonces alléchantes, des CV piégés

Les pirates déguisent leurs logiciels malveillants en offres légitimes – souvent pour des postes de développeurs blockchain ou d'analystes DeFi. Une fois le fichier ouvert, le malware siphonne les portefeuilles et les identifiants d'échange.

Pourquoi ça marche ? La précarité du marché

Avec les récentes turbulences du secteur, même les experts se jettent sur les offres douteuses. « Quand ton portefeuille fond comme neige au soleil, tu cliques d'abord, tu réfléchis après » ironise un trader parisien.

Protégez-vous : Vérifiez l'employeur, utilisez des machines virtuelles pour les tests techniques, et méfiez-vous des offres trop belles pour être vraies. Dans la crypto comme ailleurs, si c'est gratuit... c'est vous le produit.

Talos fait suite à l'arnaque et confirme une connexion nord-coréenne

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 - 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1zg

- Mayank Dudeja (@ImcCryptofreak) 20 juin 2025

Le cabinet de recherche sur la cybersécurité Cisco Talos a affirmé que le nouveau chevalier à distance basé à Python appelé «Pylangghost» liait les logiciels malveillants à un collectif de piratage affilié à la Corée du Nord appelé «Famous Chollima», également connu sous le nom de «Waremole».

L'entreprise a également révélé que le malware Pylangghost était fonctionnellement équivalent au rat Golangghost précédemment documenté, partageant bon nombre des mêmes capacités. Famous Chollima a utilisé la variante basée sur Python pour cibler les systèmes Windows, tandis que la version Golang cible les utilisateurs de MacOS. Les systèmes Linux ont été exclus de ces dernières attaques.

Selon Talos, le groupe d'acteurs de menace est actif depuis 2024 grâce à plusieurs campagnes bien documentées. Ces campagnes comprenaient l'utilisation de variantes d'interview contagieuse (alias de développement trompeur) et de création de fausses publicités d'emploi et de pages de tests de compétences. Les utilisateurs ont été invités à copier et à coller (ClickFix) une ligne de commande malveillante afin d'installer les pilotes nécessaires pour effectuer l'étape finale des compétences.  

Les candidats du dernier schéma découvert en mai ont été invités à permettre l'accès aux caméras pour une interview vidéo et invité à copier et à exécuter des commandes malveillantes déguisées en installations de pilotes vidéo. Ainsi, ils ont fini par utiliser pylangghost dans leurs gadgets. L'exécution a commencé avec le fichier «nvidia.py», qui a effectué plusieurs tâches: il a créé une valeur de registre pour lancer le rat chaque fois qu'un utilisateur était connecté au système, généré un GUID pour le système à utiliser dans la communication avec le serveur de commande et de contrôle (C2), connecté au serveur C2 et a saisi la boucle de commande pour la communication avec le serveur.

Selon Cisco Talos, «Les instructions pour télécharger le correctif présumé sont différentes en fonction de l'empreinte digitale du navigateur, et également donnée dans un langage de coquille approprié pour le système d'exploitation: PowerShell ou Command Shell pour Windows, et Bash pour macOS.»

Talos a observé que, à part le vol de fonds directement des échanges, les célèbres pirates de Chollima se sont récemment concentrés sur les professionnels de la cryptographie pour collecter des informations et éventuellement infiltrer les entreprises cryptographiques de l'intérieur. Plus tôt cette année, les pirates nord-coréens ont créé de fausses sociétés américaines, Blocknovas LLC et Softglide LLC, pour distribuer des logiciels malveillants par le biais d'entretiens d'embauche frauduleux avant que le FBI ne saisisse le domaine Blocknovas.

La Corée du Nord apparaît comme une plaque tournante pour les schémas de piratage notoires

En décembre 2024, le hack de capital radiant de 50 millions de dollars a commencé lorsque les acteurs de la RPDC nord-coréens se sont fait passer pour d'anciens con trac et ont envoyé des PDF chargés de logiciels malveillants aux ingénieurs. Le ou les imitateurs ont partagé un fichier zip sous le couvert de demander des commentaires sur un nouveau projet sur lequel ils travaillaient.

Une déclaration conjointe du Japon, en Corée du Sud, et les États-Unis ont également confirmé que des groupes soutenus par la Corée du Nord, y compris Lazarus, ont volé au moins 659 millions de dollars grâce à plusieurs cambriolages crypto en 2024. Les envoyés ont noté que les travailleurs de la Corée du Nord ont été un facteur majeur de la capacité du régime, notamment des programmes de financement des armes.

en chaîne en chaîne a confirmé que Plante a confirmé que les pirates de liaison du Nord étaient de loin les pirates de cryptographie les plus prolifiques au cours des dernières années. En 2022, ils ont battu leurs propres records de vol, volant environ 1,7 milliard de dollars de crypto sur plusieurs hacks, contre 428,8 millions de dollars en 2021.

Cependant, en mai, Crypto Exchange Kraken a révélé qu'il avait réussi à me dent et à contrecarrer un agent nord-coréen qui avait postulé pour un poste informatique. Kraken a attrapé le demandeur lorsqu'ils ont échoué aux tests de vérification de base de base dent des entretiens.

Clai de différence de fil : l'outil secret que les projets de crypto utilisent pour obtenir une couverture médiatique garantie