- Les pirates nord-coréens ciblent les développeurs cryptographiques avec des offres d’emploi malveillantes
- Le groupe Slow Poissons utilise LinkedIn pour fournir des logiciels malveillants aux développeurs de crypto
Un groupe de piratage nord-coréen, censé être responsable des 1,4 milliard de dollars piratage en février 2025, a été lié à une nouvelle campagne malveillante qui cible les développeurs de cryptographie. L’organisation de piratage avancée utilise des tâches de programmation contrefaites pour envoyer du code malveillant aux développeurs à travers des tactiques numériques sophistiquées.
Les pirates nord-coréens exploitent les développeurs de crypto via LinkedIn
Slow Poissons est un groupe cybercriminel qui utilise LinkedIn pour cibler les développeurs de crypto-monnaie, selon la division de l’unité 42 de Palo Alto Networks. Les acteurs malveillants prétendent être des recruteurs d’emplois tout en envoyant des affectations de code qui cachent des logiciels malveillants à l’intérieur. Le logiciel nuisible RN Loader et RN Stealer distribuent leurs attaques à travers des projets que les développeurs doivent exécuter pour devenir contaminés.
La crypto-monnaie reste une cible en cours d’attaque du cyber-acteur nord-coréen car ils poursuivent des efforts pour exploiter ce secteur. Le groupe utilise cette approche tactique pour la deuxième fois après l’avoir déployée en juillet 2023. GitHub a confirmé que les entreprises liées à Bitcoin ainsi que les entreprises de cybersécurité et leur personnel, ont été victimes de tracas NPM dans ce même cycle.
Le chercheur en sécurité de Palo Alto Networks, Prashil Pattni, a décrit le fonctionnement du groupe de pirates. Ils abordent d’abord les développeurs sur LinkedIn avec une offre d’emploi attrayante. Lorsqu’un développeur s’engage avec eux, les attaquants distribuent un fichier PDF qui fournit les informations d’attribution de codage. La tâche est située sur GitHub où les développeurs peuvent suivre les instructions pour acquérir et exécuter le programme Python.
L’apparition initiale du projet ne présente aucune préoccupation car elle montre les taux de change de crypto-monnaie aux utilisateurs. Tout au long de son processus, le projet utilise une connexion secrète pour récupérer la charge utile supplémentaire à partir d’un serveur distant, permettant ainsi aux attaquants d’accéder plus profondément au système.
Le groupe Slow Poissons cible les développeurs avec de fausses offres d’emploi
Ce type d’attaque est très ciblé. La méthode des cyberattaquants se compose de plusieurs étapes, selon les données collectées par Mandiant, que Google a acquise grâce à son achat de la société de cybersécurité. Les attaquants commencent par un PDF sûr qui contient la description de poste spécifiée. Le développeur reçoit le questionnaire après une réponse positive qui les guide vers le téléchargement du projet GitHub compromis.
Les attaquants, connus pour leur patience, ont maintenu cette technique, qui semble générer des résultats. Les développeurs de logiciels malveillants utilisent des mesures de ciblage précises pour livrer leurs attaques car elles ne transmettent que des logiciels malveillants aux destinataires validés par des tests en utilisant l’adresse IP, la géolocalisation et les facteurs liés au temps. Le ciblage précis de ce groupe indique l’organisation au sein de leurs opérations, et les attaques gardent des objectifs distincts au lieu d’attaquer diverses cibles.
La couverture médiatique antérieure des opérations du groupe ne les a pas empêchés de poursuivre leur approche établie, qui montre leur succès persistant. Les pirates nord-coréens utilisent constamment les mêmes méthodes car ils profitent efficacement des faiblesses parmi les développeurs de crypto-monnaies.
Enfin, les développeurs de crypto devraient faire preuve de prudence concernant les propositions de carrière inconnues et les tâches de programmation, car cette menace émergente met en évidence de tels risques. Toutes les possibilités d’emploi doivent être vérifiées par des experts avant d’accepter de telles offres, et tous les liens et documents partagés doivent provenir de sources établies et dignes de confiance. La cyber-menace contre les systèmes de crypto-monnaie persiste en raison de groupes tels que Slow Poissons, ce qui nécessite une plus grande sensibilisation de l’industrie et des mesures défensives à des fins de sécurité.
Résumé: Les pirates nord-coréens, notamment le groupe Slow Poissons, ciblent de manière agressive les développeurs de crypto-monnaies via LinkedIn avec des offres d’emploi trompeuses, exploitant les faiblesses de ce secteur. Les développeurs doivent être vigilants face à ces menaces émergentes et s’assurer de la légitimité de toutes les propositions d’emploi.
