Des hackers nord-coréens ont trouvé une méthode inédite pour orchestrer leurs cyberattaques. Comme l’a découvert Google, les pirates ont pris l’habitude de cacher des malwares directement sur la blockchain depuis février 2025. On vous explique pourquoi l’astuce permet aux pirates du régime de Pyongyang d’échapper aux forces de l’ordre et aux chercheurs en cybersécurité.
Les chercheurs du Google Threat Intelligence Group (GTIG) ont découvert une nouvelle tactique utilisée par les hackers nord-coréens pour propager des malwares. Les cybercriminels ont en effet trouvé le moyen de cacher des logiciels malveillants directement sur la blockchain, le réseau décentralisé qui sous-tend les cryptomonnaies. Les chercheurs ont baptisé l’attaque « EtherHiding », étant donné que les pirates exploitent notamment la blockchain Ethereum.
À lire aussi : Cyberattaques nord-coréennes en Europe – Google sonne l’alerte au sujet des « guerriers de l’informatique »
La blockchain, une arme pour les hackers nord-coréens
Au lieu d’héberger leur code malveillant sur des serveurs classiques, faciles à bloquer, ils l’insèrent dans des contrats intelligents (smart-contracts) sur la blockchain Ethereum ou sur la Binance Smart Chain. Massivement utilisés dans le monde de la finance décentralisée, les contrats intelligents sont des programmes automatisés capables d’exécuter des actions directement sur une blockchain. Ils occupent une place essentielle dans le fonctionnement des plateformes de la DeFi. Ils gèrent en effet toutes les cryptomonnaies déposées par les utilisateurs et assurent les transferts entre différentes blockchains.
Le réseau étant public et accessible à tous, les pirates n’ont qu’à créer un contrat intelligent, glisser le code comme une simple donnée, et déployer le contrat. Les hackers peuvent mettre à jour à tout moment le code malveillant en modifiant le smart contract. L’un des contrats repérés par Google « a été mis à jour plus de 20 fois au cours des quatre premiers mois ».
Une fois inséré sur la blockchain, le code ne peut pas être supprimé. La chaîne de blocs protège le code des hackers contre la censure. En d’autres termes, les cybercriminels se servent de la blockchain comme d’une arme. Cette tactique inédite est actuellement utilisée dans le cadre d’une campagne de vols de crypto.
« Ce développement signe une escalade du paysage des menaces : des acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l’ordre et aisément adaptables à de nouvelles campagnes », explique Robert Wallace l’un des chercheurs Google à l’origine de la découverte.
Fausses offres d’emploi et scripts malveillants
L’attaque commence par de fausses offres d’emploi pour des développeurs. Pour appâter les cibles, les pirates se font passer pour des start-ups émergentes du monde de la crypto. Ils n’hésitent pas à inventer de nouvelles sociétés et à concevoir des profils crédibles sur les réseaux professionnels ou des sites de recherche d’emploi. Le développeur intéressé sera invité à un entretien en ligne.
Pendant l’entretien, la victime devra réaliser un test de compétence. Celui-ci nécessite d’exécuter un script ou programme sur l’ordinateur. C’est là que le piège se referme. Le script va déclencher le téléchargement d’un autre script, caché dans un contrat intelligent sur une blockchain. Le malware JADESNOW entre alors en scène, directement importé de la chaîne de blocs.
Celui-ci sert uniquement à récupérer et à lancer la véritable charge malveillante à partir de la blockchain, à savoir InvisibleFerret. Ce malware espion va se mettre à surveiller tout ce qu’il se passe sur l’ordinateur. Il va fouiller tous les navigateurs pour extraire des mots de passe, identifiants enregistrés, adresses email, et même infos de cartes bancaires sauvegardées. Le virus vise surtout les portefeuilles crypto utilisés dans des extensions comme MetaMask ou Phantom. En parcourant toute la machine, il va rechercher les clés privées qui permettent de se connecter à un wallet crypto.
À lire aussi : des pirates nord-coréens piègent les utilisateurs Apple avec de fausses offres d’emploi
Vol de cryptomonnaies à grande échelle
Une fois les données volées, le virus les regroupe dans une archive ZIP et les envoie discrètement vers l’extérieur. Les pirates utilisent Telegram, via un bot ou un canal privé, ou un serveur distant, pour réceptionner les informations compromises. Les hackers peuvent alors se servir des données pour voler les cryptomonnaies du développeur. C’est le but principal de la manœuvre.
Derrière cette opération d’envergure, on trouve un gang de pirates mandatés par la Corée du Nord, évoqué sous le nom de code de UNC5342. Très expérimenté, le groupe est spécialisé dans le vol de cryptomonnaies. Pour rappel, les pirates à la botte de Kim Jong Un font partie des principales menaces qui pèsent sur l’écosystème crypto. Cette année, les cybercriminels nord-coréens ont déjà volé 2 milliards de dollars d’actifs numériques. Leurs compères, les hackers de Lazarus, sont d’ailleurs à l’origine du plus gros hack de l’histoire de la crypto, de celui de l’exchange Bybit en février dernier.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.