Des pirates nord-coréens utilisent une nouvelle méthode d'escroquerie à l'encontre des développeurs de crypto-monnaies
Des pirates nord-coréens ciblent les développeurs de cryptomonnaies avec de fausses offres d'emploi et des logiciels malveillants.
Des cybercriminels nord-coréens auraient lancé une nouvelle campagne sophistiquée visant à compromettre les développeurs de crypto-monnaies par le biais d'offres d'emploi frauduleuses et de défis de codage truffés de logiciels malveillants.
Cette campagne est liée au groupe de pirates Slow Pisces - également connu sous le nom de Jade Sleet ou TraderTraitor - qui est soupçonné d'avoir orchestré le récent exploit Bybit, d'une valeur de 1,4 milliard de dollars, rapporte Cointelegraph.
Selon un rapport de The Hacker News, les attaquants se font passer pour des recruteurs sur LinkedIn, attirant les développeurs avec des opportunités de carrière lucratives. Une fois le contact établi, les victimes reçoivent de faux tests de codage hébergés sur GitHub. L'ouverture de ces documents déclenche l'installation d'un logiciel malveillant conçu pour accéder aux informations d'identification des développeurs, aux clés SSH, aux jetons API et aux données des portefeuilles.
Les experts avertissent que l'objectif est d'infiltrer l'employeur du développeur, d'identifier les vulnérabilités de l'infrastructure et, finalement, d'exécuter des vols de crypto-monnaie à grande échelle.
Les experts en sécurité appellent à la prudence et à l'hygiène opérationnelle
Hakan Unal, senior SOC lead chez Cyvers, a déclaré que les pirates souhaitaient compromettre les services cloud, extraire les trousseaux de clés iCloud et violer les portefeuilles. Luis Lubeck, de Hacken, a ajouté que les attaquants utilisent également des plateformes de freelance comme Upwork et Fiverr pour atteindre les victimes, se faisant souvent passer pour des clients recrutant des postes de sécurité DeFi ou Web3.
"Ces acteurs créent de fausses identités complètes, y compris des CV et des profils professionnels, pour tromper les développeurs", a déclaré Hayato Shigekawa de Chainalysis. Une fois à l'intérieur du réseau d'une entreprise, le groupe recherche des vulnérabilités exploitables afin d'exécuter des attaques préjudiciables.
M. Lubeck et d'autres experts recommandent aux développeurs de rester sceptiques à l'égard des contrats non sollicités, en particulier ceux qui offrent une rémunération anormalement élevée. Les développeurs devraient vérifier l'identité des recruteurs par les canaux officiels de l'entreprise, éviter d'exécuter du code inconnu et utiliser des environnements de type "bac à sable" pour les tests. Ils doivent également s'abstenir de stocker des secrets en texte clair et adopter une protection solide des points d'accès.
Alors que les attaquants deviennent de plus en plus sophistiqués sur le plan technique et psychologique, Yehor Rudytsia de Hacken a souligné l'importance de l'"hygiène opérationnelle", notant que l'éducation et les pratiques sécurisées sont aussi vitales que les audits de contrats intelligents.
Cette dernière vague d'attaques met en évidence les défis continus en matière de cybersécurité auxquels est confrontée l'industrie de la cryptographie et le rôle croissant des acteurs soutenus par les États dans l'exploitation des vulnérabilités de Web3.
Nous avons récemment écrit que le Lazarus Group a infecté des centaines de développeurs de logiciels, déployant des logiciels malveillants via des paquets npm pour voler des informations d'identification, extraire des données de portefeuille de crypto-monnaie et installer une porte dérobée persistante.
