Une nouvelle vague de cyberattaques montre que la RPDC exploite l’entonnoir de recrutement de l’industrie de la cryptographie, en utilisant de fausses offres d’emploi LinkedIn, des appels de zoom en profondeur et des fichiers d’entrevue arrière pour accéder aux portefeuilles et référentiels des développeurs Web3.
Les talents chevronnés des développeurs chevronnés, les protocoles d’origine et d’ouverture qui dépendent de plus en plus des contributeurs individuels, les enjeux n’ont jamais été plus élevés.
Infiltration du développeur de pirates nord-coréens
Le 18 juin, la société de cybersécurité Huntress a signalé une campagne attribuée à Bluenoroff, un sous-groupe notoire du groupe Lazare ciblant un développeur dans une grande fondation Web3.
La ruse a commencé par un terrain de recruteur poli sur LinkedIn, suivi de ce qui semblait être une interview Zoom avec un cadre supérieur. En réalité, le flux vidéo était un fichier en profondeur, et le fichier «évaluation technique» que le candidat a été invité à exécuter, `zoom_sdk_support.scpt`, déployé de la malware transversal doublé de lalairie qui peut récolter des phrases de graines, des crypto-lallettes et des références GitHub.
Ces tactiques représentent une forte escalade. «Dans cette nouvelle campagne, le groupe de menaces-acteurs utilise trois sociétés avant de l’industrie du conseil en crypto… pour répandre les logiciels malveillants via des« leurres d’emploi », des chercheurs de Silent Push ont écrit en avril, se référant à des sociétés telles que Blocknovas, Softglide et Angeloper. Les trois ont maintenu les inscriptions aux entreprises américaines et les postes d’emploi LinkedIn qui ont facilement réussi les tests de reniflement RH.
Le FBI a saisi le domaine Blocknovas en avril. À ce moment-là, plusieurs développeurs auraient été passés à travers de faux appels de zoom où ils ont été invités à installer des applications personnalisées ou à exécuter des scripts. Beaucoup se sont conformés.
Ce ne sont pas des escroqueries simples et des grabs, mais faisant partie d’une campagne bien financée et dirigée par l’État. Depuis 2017, des groupes de piratage nord-coréens ont volé plus de 1,5 milliard de dollars en crypto, y compris le hack Ronin / Axie Infinity de 620 millions de dollars.
Les actifs volés sont systématiquement canalisés à travers des mélangeurs tels que Tornado Cash et Sinbad, blanchissant à la prise de Pyongyang et finalement financé son programme d’armes, selon le Trésor américain.
«Pendant des années, la Corée du Nord a exploité les écosystèmes mondiaux de contrat informatique et cryptographique pour échapper aux sanctions américaines et financer ses programmes d’armes», a déclaré Sue J. Bai de la division de sécurité nationale du DOJ. Le 16 juin, son bureau a annoncé la saisie de 7,74 millions de dollars de cryptographie liée au programme de faux travailleurs.
Crypto Developer Focus
Les cibles sont soigneusement sélectionnées. La nature ouverte des protocoles cryptographiques signifie qu’un seul ingénieur, souvent pseudonyme et distribué à l’échelle mondiale, peut contenir des privilèges de validation à l’infrastructure critique, des contrats intelligents aux protocoles à relier.
Le rapport des développeurs accessible au public d’Electric Capital comptait environ 39 148 nouveaux développeurs de cryptos actifs, avec des développeurs totaux en baisse d’environ 7% d’année. Les analystes de l’industrie affirment que l’offre de mainteneurs assaisonnés n’a fait que resserrer, ce qui rend chaque développeur compromis de manière disproportionnée dangereuse.
Ce déséquilibre est la raison pour laquelle le pipeline d’embauche lui-même est devenu un champ de bataille de cybersécurité. Une fois qu’un recruteur avant de l’avant est passé des RH, les ingénieurs, désireux de stabilité dans un marché baissier, peuvent ne pas repérer les drapeaux rouges à temps. Dans plusieurs cas, les attaquants ont même utilisé des liens calendrés et Google Meet invite qui a silencieusement redirigé les victimes vers des domaines de look zoom contrôlé par les attaquants.
La pile de logiciels malveillants est avancée et modulaire. Huntress et l’unité 42 ont catalogué la querelle de castor, InvisibleFerret et les variantes d’Ottercookie, toutes compilées avec le cadre QT pour la compatibilité multiplateforme. Une fois installé, les outils grattent les extensions du navigateur telles que Metamask et Phantom, Exfiltrate `Wallet.Dat` Files et recherchent des termes tels que« mnémonique »ou« graine »dans des fichiers en texte en clair.
Pourtant, malgré la sophistication technique, la pression des applications juridiques monte. Les crises du domaine du FBI, les confiscations financières du DOJ et les sanctions du Trésor contre des mélangeurs ont commencé à augmenter le coût de faire des affaires pour les pirates de Pyongyang. Le régime reste cependant adaptatif.
Chaque nouvelle société d’obus, personnage de recruteur ou en charge utile de logiciels malveillants arrive enveloppée dans un emballage plus convaincant. Grâce aux outils génératifs-AI, même les faux cadres des appels en direct sont désormais révolus de manière crédible. Les systèmes sans confiance de Defi s’appuient toujours sur un cercle étonnamment petit et vulnérable de mainteneurs humains de confiance.
Target de crypto nord-coréen sur l’assaut
Récent Cryptoslate La couverture dépeint une toile plus large de l’assaut crypto de Pyongyang. Une analyse de fin d’année a révélé que les groupes liés à la Corée du Nord ont siphoné 1,34 milliard de dollars sur 47 hacks en 2024, soit un total de 61% de toutes les crypto volées cette année-là.
Une grande tranche de ce décompte provenait de la violation de 305 millions de dollars du bitcoin DMM du Japon, ce qui, selon le FBI, a commencé lorsqu’un agent TraderTraitor a fait passer un recruteur de LinkedIn et a glissé un «test de codage» malveillant à un ingénieur de portefeuille Ginco.
Le même livre de jeu s’est intensifié en février lorsque le bureau a attribué un record de 1,5 milliard de dollars à l’exploitation de Lazarus, notant que les voleurs avaient déjà blanchi 100 000 ETH via Thorchain en quelques jours.
Les agents nord-coréens usurpent les capital-risqueurs, les recruteurs et les travailleurs informatiques éloignés, utilisant des profils générés par l’IA et des entretiens en profondeur, pour gagner des salaires, un code source exfiltrat et des entreprises d’extorts dans ce que les chercheurs de Microsoft appellent un «triple menace»Schéma.
Dans un monde où les emplois peuvent être éloignés, la confiance est numérique et le logiciel gère l’argent, la violation suivant par l’État peut commencer non pas par un exploit mais avec une poignée de main.
Mentionné dans cet article
(Tagstotranslate) Bitcoin
