2025-06-20 03:42:00
Un acteur malveillant lié à la Corée du Nord s’attaque aux chercheurs d’emploi dans le secteur de la cryptomonnaie en diffusant un nouveau logiciel malveillant. Cette menace est spécifiquement conçue pour dérober des identifiants de ports cryptographiques et des gestionnaires de mots de passe.
Un logiciel malveillant sur mesure pour le secteur crypto
Selon le rapport émis par Cisco Talos, un nouveau cheval de Troie d’accès à distance (RAT) développé en Python, nommé « PylangGhost », a été identifié. Ce logiciel a été associé à un groupe de hackers nord-coréen connu sous le nom de « Famous Chollima » ou « Wagemole ». L’objectif affiché de cette cyberattaque est de cibler des professionnels possédant une expertise dans les domaines de la cryptomonnaie et de la blockchain, principalement en Inde.
Stratégies de fraude ciblant les chercheurs d’emploi
Les assaillants mettent en œuvre des sites d’emploi frauduleux qui imitent des entreprises légitimes telles que Coinbase, Robinhood et Uniswap. Les victimes sont tout d’abord contactées par de faux recruteurs qui leur proposent des opportunités d’entretien. Cette démarche utilise des méthodes de manipulation psychologique pour recueillir des informations.
Un aspect clé de cette arnaque consiste à diriger les cibles vers des plateformes de test de compétences. Par la suite, les victimes doivent activer l’accès à leur caméra et à leur microphone pour des entretiens illusoires, où elles sont manipulées pour télécharger et exécuter des commandes malveillantes sous prétexte d’installer des mises à jour de drivers vidéo.
Fonctionnalités malveillantes du PylangGhost
Ce logiciel, une variante du RAT GolangGhost antérieurement signalé, permet de prendre le contrôle à distance des systèmes infectés. Une fois exécuté, il extrait les cookies et les identifiants de plus de 80 extensions de navigateurs, y compris plusieurs gestionnaires de mots de passe et portefeuilles de cryptomonnaies comme MetaMask et 1Password.
Capacités d’exécution étendues de PylangGhost
PylangGhost est conçu pour effectuer une large gamme d’opérations. En plus des vols d’informations d’identification, il peut prendre des captures d’écran, gérer des fichiers, collecter des données système et maintenir un accès continu aux appareils compromis.
Un schéma répandu dans les attaques nord-coréennes
Ce type d’escroquerie n’est pas inédit. Par le passé, des hackers nord-coréens ont utilisé des offres d’emploi trompeuses pour attirer leurs victimes. Des incidents similaires ont été signalés, comme cela a été le cas lors du vol de 1,4 milliard de dollars lié à Bybit, où des développeurs de cryptomonnaies étaient la cible de faux tests de recrutement contaminés par du logiciel malveillant.