Crypto : La Corée du Nord cible les chercheurs d’emploi et leur vole des mots de passe

Ingéniosité malveillante. Le groupe de hackers nord-coréens Lazarus est impliqué dans de nombreux hacks d’envergure comme celui de Ronin en 2022 ou plus récemment celui de Bybit en février dernier. Mais il n’est pas le seul groupe à sévir dans la cryptomonnaie et un autre collectif connu sous le nom de Famous Chollima fait lui aussi des ravages. Selon les experts en cybersécurité de chez Cisco Talos, ce groupe utilise un nouveau malware pour s’attaquer aux chercheurs d’emploi dans la crypto et leur voler leurs mots de passe. Explications.

Famous Chollima s’attaque aux chercheurs d’emploi dans la crypto

Les chercheurs de chez Cisco Talos ont découvert un nouveau cheval de Troie basé sur Python qu’ils ont baptisé PylangGhost et qui serait utilisé par le groupe de hackers Famous Chollima, aussi connu sous le nom de Wagemole. Ce malware cible les chercheurs d’emploi et les employés du secteur de la blockchain (principalement en Inde) via de fausses campagnes d’entretien d’embauche en utilisant l’ingénierie sociale.

Les pirates créent ainsi des sites d’emploi frauduleux qui usurpent l’identité d’entreprises légitimes, telles que Coinbase, Robinhood et Uniswap, et guident les victimes à travers un processus en plusieurs étapes. Cela comprend un contact initial avec de faux recruteurs qui envoient des invitations à des tests de compétences durant lesquels se déroule la collecte d’informations.

Le malware PylangGhost vole les mots de passe des portefeuilles

Ensuite, les victimes sont incitées à activer l’accès à la vidéo et à la caméra pendant ces entretiens frauduleux au cours desquels elles sont amenées à copier et à exécuter des commandes malveillantes qui entraînent la compromission de leur appareil.

PylangGhost est une variante du RAT GolangGhost précédemment documenté et il partage des fonctionnalités similaires. Lors de son exécution, les commandes permettent de contrôler à distance le système infecté et de voler les cookies et les identifiants de plus de 80 extensions de navigateur. Sont concernés des gestionnaires de mots de passe et des wallets crypto, tels que MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink et MultiverseX.

Le malware peut également effectuer d’autres tâches et exécuter de nombreuses commandes, notamment prendre des captures d’écran, gérer des fichiers, voler des données de navigateur, collecter des informations système et maintenir un accès à distance aux systèmes infectés. Les chercheurs ont enfin noté qu’il était peu probable que les acteurs de la menace aient utilisé un modèle de langage artificiel (IA) pour aider à écrire le code.

Ce n’est pas la première fois que des hackers liés à la Corée du Nord utilisent de fausses annonces d’emplois et des entretiens pour attirer leurs victimes. En avril dernier, des pirates liés au vol de 1,4 milliard de dollars sur Bybit ciblaient des développeurs de cryptomonnaie en utilisant de faux tests de recrutement infectés par des logiciels malveillants. Les pirates rodent aux quatre coins d’Internet et on est clairement plus à l’abri nulle part.