Des hackers nord-coréens liés au piratage de 1,4 milliard de dollars de l'exchange Bybit ciblent actuellement les développeurs crypto à l’aide de faux tests de recrutement infectés par des malwares.

Selon The Hacker News, des développeurs crypto ont récemment reçu des exercices de codage transmis par des individus se faisant passer pour des recruteurs. Ces défis techniques serviraient en réalité de vecteur d’infection pour installer des logiciels malveillants sur leurs ordinateurs.

Ces cybercriminels approchent leurs cibles via LinkedIn, en leur proposant des opportunités de carrière très attractives. Une fois la confiance gagnée, ils leur envoient un document malveillant contenant un test technique hébergé sur GitHub. L’ouverture du fichier déclenche alors l’installation d’un logiciel espion capable de compromettre tout le système.

Ce stratagème serait orchestré par un groupe de hackers nord-coréens connu sous plusieurs noms : Slow Pisces, Jade Sleet, Pukchong, TraderTraitor ou encore UNC4899.

Des experts en cybersécurité alertent sur les offres d’emploi frauduleuses

Hakan Unal, responsable des opérations de sécurité chez Cyvers, explique que ces hackers cherchent principalement à récupérer des identifiants, des codes d’accès et des configurations sensibles. Ils visent notamment les accès au cloud, les clés SSH, le trousseau iCloud, les métadonnées systèmes ou applicatives, ainsi que les accès aux wallets crypto.

Luis Lubeck, chef de projet chez Hacken, précise à Cointelegraph que ces acteurs malveillants tentent aussi de récupérer des clés API ou d'accéder à l’infrastructure de production des projets ciblés.

Selon lui, LinkedIn est la principale plateforme utilisée. Toutefoise, les hackers opèrent aussi sur des sites de freelancing comme Upwork ou Fiverr, observe-t-il.

« Ces pirates se font passer pour des recruteurs ou des clients, en proposant des missions bien rémunérées ou des tests dans le domaine de la DeFi ou de la cybersécurité, ce qui semble crédible pour les développeurs », ajoute Lubeck.

Hayato Shigekawa, architecte principal chez Chainalysis, affirme que ces pirates créent des profils d’employés très convaincants sur les plateformes professionnelles. Ils les associent à des CV détaillés correspondant à de fausses expériences.

Tout cela vise à infiltrer l’entreprise Web3 qui emploie le développeur ciblé. « Une fois l’accès obtenu, ils identifient des failles internes, ce qui peut déboucher sur des attaques majeures », explique Shigekawa.

Attention aux missions non sollicitées

Yehor Rudytsia, chercheur en sécurité on-chain chez Hacken, note que les attaquants se montrent de plus en plus inventifs. Ils imitent parfois de mauvais traders pour blanchir les fonds et combinent manipulations psychologiques et techniques pour exploiter les failles.

« Cela montre que la formation des développeurs et une bonne hygiène opérationnelle sont tout aussi importantes que les audits de code ou les protections des smart contracts », a-t-il affirmé à Cointelegraph.

Unal a expliqué à Cointelegraph que les développeurs peuvent adopter certaines des meilleures pratiques pour éviter d'être victimes de telles attaques, notamment en utilisant des machines virtuelles et des bacs à sable pour les tests, en vérifiant les offres d'emploi de manière indépendante et en n'exécutant pas de code provenant d'inconnus. 

Il insiste aussi sur l’importance d’éviter l’installation de packages non vérifiés et de maintenir une protection solide sur les terminaux.

De son côté, Lubeck conseille de toujours vérifier l’identité des recruteurs via des canaux officiels. Il recommande également de ne jamais stocker d’informations sensibles en clair.

« Sois extrêmement prudent avec les missions qui semblent trop belles pour être vraies, surtout si elles sont non sollicitées », conclut-il.