Crypto Edu
Les pirates nord-coréens, Famous Chollima, ont ciblé des experts en cryptographie avec de faux entretiens d’embauche conçus pour voler leurs données et déployer des logiciels malveillants sur leurs appareils. Les logiciels malveillants ont volé des informations d’identification de plus de 80 extensions de navigateur, y compris les gestionnaires de mots de passe et les portefeuilles crypto comme Metamask, 1Password, Nordpass, Phantom, Bitski, Initia, TronLink et MultiversEx.
Mercredi, le cabinet de recherche sur le renseignement des menaces Cisco Talos a signalé que Famous Chollima se faisait passer pour des sociétés légitimes et a dirigé les victimes sans méfiance vers des sites Web de tests de compétences où les victimes ont pénétré des informations personnelles et répondu aux questions techniques.
Les sites de test de compétences ont faussement donné à des sociétés réelles comme Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap et autres, ce qui a aidé à cibler.
Seuls quelques utilisateurs, principalement en Inde, ont été touchés en fonction de l’intelligence open source. Dileep Kumar HV, directeur de Digital South Belief, a indiqué que pour contrer ces escroqueries, l’Inde devrait imposer des audits de cybersécurité pour les sociétés de blockchain et surveiller les fausses portails d’emploi. Il a également appelé à une coordination mondiale plus forte sur les campagnes transfrontalières de la cybercriminalité et de la conscience numérique.
Lire plus
Talos fait suite à l’arnaque et confirme une connexion nord-coréenne
Le cabinet de recherche sur la cybersécurité Cisco Talos a affirmé que le nouveau chevalier à distance basé à Python appelé «Pylangghost» liait les logiciels malveillants à un collectif de piratage affilié à la Corée du Nord appelé «Famous Chollima», également connu sous le nom de «Waremole».
L’entreprise a également révélé que le malware Pylangghost était fonctionnellement équivalent au RAT Golangghost précédemment documenté, partageant bon nombre des mêmes capacités. Famous Chollima a utilisé la variante basée sur Python pour cibler les systèmes Windows, tandis que la version Golang cible les utilisateurs de MacOS. Les systèmes Linux ont été exclus de ces dernières attaques.
Selon Talos, le groupe d’acteurs de menace est actif depuis 2024 grâce à plusieurs campagnes bien documentées. Ces campagnes comprenaient l’utilisation de variantes d’interview contagieuse (alias de développement trompeur) et de création de fausses publicités d’emploi et de pages de tests de compétences. Les utilisateurs ont été invités à copier et à coller (ClickFix) une ligne de commande malveillante afin d’installer les pilotes nécessaires pour effectuer l’étape finale des compétences.
Les candidats du dernier schéma découvert en mai ont été invités à permettre l’accès aux caméras pour une interview vidéo et invités à copier et à exécuter des commandes malveillantes déguisées en installations de pilotes vidéo. Ainsi, ils ont fini par utiliser pylangghost dans leurs gadgets. L’exécution a commencé avec le fichier «nvidia.py», qui a effectué plusieurs tâches: il a créé une valeur de registre pour lancer le RAT chaque fois qu’un utilisateur était connecté au système, généré un GUID pour le système à utiliser dans la communication avec le serveur de commande et de contrôle (C2), connecté au serveur C2 et a saisi la boucle de commande pour la communication avec le serveur.
Selon Cisco Talos, «Les instructions pour télécharger le correctif présumé sont différentes en fonction de l’empreinte digitale du navigateur, et également données dans un langage de coquille approprié pour le système d’exploitation: PowerShell ou Command Shell pour Windows, et Bash pour macOS.»
Talos a observé que, à part le vol de fonds directement des échanges, les célèbres pirates de Chollima se sont récemment concentrés sur les professionnels de la cryptographie pour collecter des informations et éventuellement infiltrer les entreprises cryptographiques de l’intérieur. Plus tôt cette année, les pirates nord-coréens ont créé de fausses sociétés américaines, Blocknovas LLC et Softglide LLC, pour distribuer des logiciels malveillants par le biais d’entretiens d’embauche frauduleux avant que le FBI ne saisisse le domaine Blocknovas.
La Corée du Nord apparaît comme une plaque tournante pour les schémas de piratage notoires
En décembre 2024, le Hack Capital Radiant de 50 millions de dollars a commencé lorsque les acteurs de la RPDC nord-coréens se sont fait passer pour des anciens entrepreneurs et ont envoyé des PDF chargés de logiciels malveillants aux ingénieurs. Le ou les imitateurs ont partagé un fichier zip sous le couvert de demander des commentaires sur un nouveau projet sur lequel ils travaillaient.
Une déclaration conjointe du Japon, de la Corée du Sud, et des États-Unis a également confirmé que des groupes soutenus par la Corée du Nord, y compris Lazarus, ont volé au moins 659 millions de dollars grâce à plusieurs cambriolages crypto en 2024. Les envoyés ont noté que les travailleurs de la Corée du Nord ont été un facteur majeur de la capacité du régime, notamment des programmes de financement des armes.
La vice-présidente des enquêtes en chaîne a confirmé que les pirates de liaison du Nord étaient de loin les pirates de cryptographie les plus prolifiques au cours des dernières années. En 2022, ils ont battu leurs propres records de vol, volant environ 1,7 milliard de dollars de crypto sur plusieurs hacks, contre 428,8 millions de dollars en 2021.
Cependant, en mai, Crypto Exchange Kraken a révélé qu’il avait réussi à identifier et à contrecarrer un agent nord-coréen qui avait postulé pour un poste informatique. Kraken a attrapé le demandeur lorsqu’ils ont échoué aux tests de vérification de base de l’identité lors des entretiens.
Clai de différence de fil: l’outil secret que les projets de crypto utilisent pour obtenir une couverture médiatique garantie
Résumé: Les pirates nord-coréens ciblent des experts en cryptographie via de faux entretiens d’embauche pour déployer des malwares. Leurs attaques mettent en péril des extensions de navigateur et des portefeuilles crypto, incitant à une vigilance accrue et à une meilleure cybersécurité.
