Des pirates informatiques nord-coréens utilisent le malware PylangGhost pour escroquer des emplois en cryptomonnaie.

Selon une nouvelle étude de Cisco Talos, une nouvelle série de cyberattaques cible les professionnels des secteurs de la cryptographie et de la blockchain au moyen de fausses arnaques au recrutement. Les attaquants, liés à Famous Chollima , un groupe proche de la Corée du Nord, se font passer pour des entreprises légitimes afin de piéger leurs victimes et de les inciter à installer des logiciels malveillants déguisés en pilotes vidéo.

Le groupe est actif depuis au moins mi-2024, connu pour ses tactiques telles que la publication de fausses offres d'emploi de développeurs et des processus d'entretien frauduleux. Ce dernier développement témoigne de la sophistication croissante de l'opération, avec désormais un nouveau malware basé sur Python appelé PylangGhost, une variante du cheval de Troie GolangGhost précédemment identifié.

Les victimes sont contactées par de faux recruteurs qui leur proposent des postes dans des entreprises apparemment actives dans le secteur des cryptomonnaies. Les cibles sont souvent des développeurs de logiciels, des spécialistes du marketing et des concepteurs expérimentés en cryptomonnaies.

Une fois le contact établi, la victime est dirigée vers une fausse page d'évaluation des compétences conçue pour ressembler à celle d'une véritable entreprise, comprenant des noms bien connus comme Coinbase, Robinhood, Uniswap et d'autres.

Ces pages utilisent le framework React et reproduisent fidèlement les interfaces réelles des entreprises. Après avoir rempli leurs informations personnelles et terminé le test, les candidats sont invités à enregistrer une vidéo de présentation pour l'équipe de recrutement. Pour ce faire, ils doivent installer des « pilotes vidéo » en copiant-collant des commandes dans leur terminal.

Cette étape télécharge le logiciel malveillant.

Selon le billet de blog de Cicso Talos, si la victime suit les instructions sur un système Windows ou macOS, un fichier ZIP malveillant est extrait. Il contient le cheval de Troie PylangGhost, basé sur Python, et les scripts associés. Le malware se décompresse ensuite, s'exécute en arrière-plan et permet aux attaquants d'accéder à distance à la machine de la victime.

La version Python fonctionne presque de la même manière que son homologue basée sur Go. Elle s'installe automatiquement pour s'exécuter à chaque démarrage du système, collecte les informations système et se connecte à un serveur de commande et de contrôle. Une fois activée, elle peut recevoir et exécuter des commandes à distance, collecter des identifiants et voler des données de navigateur, notamment des mots de passe et des clés de portefeuille cryptographique .

Selon Talos, il cible plus de 80 extensions de navigateur différentes, y compris des gestionnaires de mots de passe et des portefeuilles numériques largement utilisés comme MetaMask, 1Password, NordPass et Phantom.

Le logiciel malveillant utilise le chiffrement RC4 pour communiquer avec son serveur. Bien que le flux de données soit chiffré, la clé de chiffrement est envoyée avec les données, ce qui limite la sécurité de cette méthode. Cependant, cette configuration lui permet de se fondre dans le trafic normal et rend sa détection plus difficile.

L'objectif de cette opération est double. Premièrement, elle permet aux attaquants de collecter des données personnelles sensibles auprès de véritables demandeurs d'emploi. Deuxièmement, elle ouvre la voie à l'intégration de faux employés au sein d'entreprises réelles, ce qui pourrait conduire à une infiltration durable et à l'accès à des données financières ou à des infrastructures logicielles précieuses.

Seul un petit nombre de victimes ont été confirmées à ce jour, principalement en Inde. Les utilisateurs de Linux ne sont pas concernés par cette campagne. Aucun client Cisco ne semble avoir été touché pour le moment.

Talos note que le développement du malware ne semble pas impliquer la génération de code IA, et la structure des versions Python et Go suggère que les mêmes développeurs ont créé les deux.

Si vous postulez à des postes dans le secteur des cryptomonnaies ou des technologies, méfiez-vous des offres d'emploi qui vous demandent d'installer des logiciels ou d'exécuter des commandes de terminal lors d'un entretien. Les entreprises sérieuses ne l'exigeront pas.

Les équipes de cybersécurité doivent revoir les processus d'intégration des employés , notamment pour les recrutements à distance, et sensibiliser le personnel à ces types d'attaques d'ingénierie sociale. La surveillance des connexions sortantes inattendues ou des téléchargements ZIP anormaux peut également aider à détecter les premiers signes de compromission.