Des pirates informatiques nord-coréens ont ciblé plus de 3 100 adresses IP liées à l'IA, aux cryptomonnaies et à la finance en utilisant de faux entretiens d'embauche

Après avoir empoché plus de 2 milliards de dollars sur le marché des cryptomonnaies en 2025, des pirates informatiques nord-coréens sont de retour avec une fausse campagne de recrutement menée par un groupe connu sous le nom de PurpleBravo.

Des pirates informatiques liés à la Corée du Nord ont lancé une campagne de cyberespionnage sur plus de 3 100 adresses Internet associées à des entreprises des secteurs de l’intelligence artificielle, des cryptomonnaies et des services financiers, selon de nouvelles conclusions d’une enquête sur les menaces menée par Insikt Group de Recorded Future. 

PurpleBravo a été repérée en train d'utiliser des processus de recrutement frauduleux et des outils de développement contenant des logiciels malveillants. Selon l'évaluation d'Insikt Group, 20 organisations victimes ont étédentà ce jour en Asie du Sud, en Amérique du Nord, en Europe, au Moyen-Orient et en Amérique centrale. 

La Corée du Nord lance une campagne de logiciels malveillants simulant des entretiens de recrutement 

Comme explique Insikt Group, la campagne « Contagious Interview » met en scène des individus malveillants se faisant passer pour des recruteurs ou des développeurs et contactant des candidats en leur proposant des exercices d'entretien technique. Au moins 3 136 adresses IP ont été ciblées durant la période de surveillance, selon les analystes en sécurité.

Les attaquants se sont présentés comme des représentants d'entreprises de cryptomonnaies et de technologies, demandant aux candidats de revoir du code, de cloner des dépôts ou d'effectuer des tâches de programmation. 

« Dans plusieurs cas, il est probable que des candidats à l'emploi aient exécuté du code malveillant sur des appareils d'entreprise, créant ainsi une exposition organisationnelle au-delà de la cible individuelle », a écrit la société de renseignement sur les menaces dans son rapport.

L'opération utilise plusieurs pseudonymes dans les sources privées et publiques concernant les pirates informatiques nord-coréens, notamment CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi et WaterPlum. 

Le groupe de cybersécurité a également indiqué que les pirates utilisaient le VPN Astrill et des plages d'adresses IP pour administrer des serveurs de commande et de contrôle basés en Chine. Par ailleurs, 17 fournisseurs de services hébergeaient pour eux des serveurs de logiciels malveillants tels que BeaverTail et GolangGhost.

Attirer les victimes avec de fausses identités, GitHub et des histoires de couverture ukrainiennes

Le groupe Insikt a repéré quatre profils en ligne liés à PurpleBravo, suite à une enquête sur GitHub , des discussions sur les réseaux sociaux concernant des arnaques liées aux cryptomonnaies et un service de renseignement sur un réseau de piratage.

D'après le rapport, ces profils se présentaient systématiquement comme étant basés à Odessa, en Ukraine, tout en ciblant des demandeurs d'emploi d'Asie du Sud. Insikt a déclaré ne pas avoir pu déterminer pourquoi desdentukrainiennes avaient été utilisées dans cette escroquerie. 

Dans l'un des faux programmes, des pirates informatiques utilisaient un site web faisant la promotion d'un jeton basé sur une marque alimentaire. Cependant, les chercheurs n'ont pu établir aucun lien entre ce jeton et l'entreprise mentionnée. Le canal Telegram officiel du projet est infesté d'escrocs, de robots automatisés et de liens malveillants. 

Par ailleurs, l'opération a également mis en évidence deux chevaux de Troie d'accès à distance apparentés, PylangGhost et GolangGhost. Ces familles de logiciels malveillants sont des outils multiplateformes qui partagent des commandesdentet automatisent le vol desdentde navigation et des cookies.

GolangGhost est compatible avec plusieurs systèmes d'exploitation, mais PylangGhost ne fonctionne que sur les systèmes Windows et peut contourner la protection d'dentliée à l'application de Chrome pour la version 127 et ultérieure.

Insikt Group a découvert des chaînes Telegram proposant à la vente des comptes LinkedIn et Upwork. Les vendeurs utilisaient des services proxy tels que proxy-seller[.]com, powervps[.]net, residentialvps[.]com, lunaproxy[.]com et sms-activate[.]io, ainsi que des serveurs privés virtuels (VPS) pour masquer leur localisation. L'opérateur a également été observé en interaction avec la plateforme d'échange de cryptomonnaies MEXC Exchange.

Portes dérobées VS Code sur Microsoft Visual Studio

Lundi, Jamf Threat Labs a signalé que des acteurs liés à la Corée du Nord ont développé une version piratée de Microsoft Visual Studio Code capable de détecter des failles de sécurité dans les systèmes. Cette tactique a été initialementdenten décembre 2025 et a depuis été perfectionnée, ont indiqué les analystes en sécurité.

D'après Thijs Xhaflaire, chercheur en sécurité chez Jamf, les attaquants peuvent implanter un logiciel malveillant permettant l'exécution de code à distance sur les machines. La chaîne d'infection débute lorsqu'une cible clone un dépôt Git malveillant et l'ouvre dans VS Code.

« Lorsque le projet est ouvert, Visual Studio Code invite l’utilisateur à faire confiance à l’auteur du dépôt. Si cette confiance est accordée, l’applicationmaticThijs Xhaflaire a écrit.