Voici comment les pirates informatiques nord-coréens responsables du vol de 1,4 milliard de dollars chez Bybit ciblent les développeurs de cryptomonnaies.

Un groupe de pirates informatiques nord-coréens cible les développeurs de cryptomonnaies via une nouvelle arnaque au recrutement qui injecte un logiciel malveillant voleur d'informations dans le système de la victime.

Selon un récent rapport de la société de cybersécurité Palo Alto Networks, Unit 42, le groupe de pirates informatiques malveillants, connu sous des pseudonymes tels que Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor ou UNC4899, se fait passer pour des recruteurs sur LinkedIn.

Une fois le contact établi, les développeurs sont attirés par de fausses offres d'emploi, suivies d'un test de codage apparemment routinier.

Mais dissimulé au sein de ces projets hébergés sur GitHub se trouve un kit d'outils malveillants voleurs de données qui infecte discrètement la machine de la victime.

Initialement, il est demandé aux candidats d'exécuter un fichier qui ressemble généralement à une simple tâche de programmation, mais une fois exécuté sur le système de la victime, il exécute un logiciel malveillant nommé RN Loader qui renvoie des informations système à l'attaquant.

Si la cible est validée, une charge utile de deuxième niveau, RN Stealer, est déployée, capable de récupérer tout, des clés SSH et données iCloud aux fichiers de configuration Kubernetes et AWS.

Ce qui rend cette campagne particulièrement dangereuse, c'est sa nature furtive, car le logiciel malveillant ne s'active que sous certaines conditions, telles que l'adresse IP ou les paramètres système, ce qui le rend plus difficile à détecter pour les chercheurs.

Il fonctionne également entièrement en mémoire, laissant très peu de traces numériques.

Le groupe de pirates informatiques Slow Pisces a été lié à des vols de grande envergure, notamment l' exploit de Bybit d'un montant de 1,4 milliard de dollars plus tôt cette année.

Les tactiques du groupe n'ont guère changé au fil du temps, ce qui, selon Unit 42, pourrait s'expliquer par le succès et la précision de leurs méthodes.

« Avant le piratage de Bybit, il y avait très peu de sensibilisation et de signalement détaillés de la campagne en sources ouvertes, et il est donc possible que les acteurs malveillants n'aient pas ressenti le besoin de changer », selon Andy Piazza, directeur principal du renseignement sur les menaces chez Unit 42.

Au contraire, selon les chercheurs, les acteurs malveillants ont même amélioré leur sécurité opérationnelle et ont été vus utilisant des astuces de modélisation YAML et JavaScript pour dissimuler des commandes malveillantes.

« En ciblant les individus contactés via LinkedIn, contrairement aux vastes campagnes de phishing, le groupe peut contrôler étroitement les étapes ultérieures de la campagne et ne délivrer les charges utiles qu'aux victimes attendues », a ajouté le chercheur en sécurité Prashil Pattni.

Des pirates informatiques nord-coréens ciblent les professionnels de l'informatique.

Des groupes de pirates informatiques nord-coréens sont responsables de certains des plus grands vols informatiques dans le secteur des cryptomonnaies.

Les données d'Arkham Intelligence montrent qu'un portefeuille lié au groupe Lazarus de Corée du Nord détenait plus de 800 millions de dollars en Bitcoin au moment du signalement.

Un rapport du Google Threat Intelligence Group publié plus tôt ce mois-ci a fait état d'une recrudescence du nombre de travailleurs informatiques nord-coréens infiltrant les entreprises technologiques et de cryptomonnaies, notamment en Europe.

L'année dernière, Invezz a rapporté que deux groupes de pirates informatiques, utilisant les pseudonymes Sapphire Sleet et Ruby Sleet, étaient responsables de pertes importantes dans le secteur des cryptomonnaies.

Il a été constaté que des acteurs malveillants se faisaient passer pour des recruteurs, des investisseurs et même des employés des entreprises ciblées afin de contourner les contrôles de sécurité initiaux et d'installer des logiciels malveillants.

Sapphire Sleet s'est fortement concentré sur les entreprises de cryptomonnaies et aurait réussi à acheminer au moins 10 millions de dollars au régime nord-coréen en six mois.