Des pirates informatiques nord-coréens, Famous Chollima, ont ciblé des experts en cryptomonnaies en leur proposant de faux entretiens d'embauche afin de voler leurs données et d'installer un logiciel malveillant sur leurs appareils. Ce logiciel a permis de dérober desdentà partir de plus de 80 extensions de navigateur, notamment des gestionnaires de mots de passe et des portefeuilles de cryptomonnaies tels que Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink et MultiverseX.
Mercredi, la société de recherche sur les menaces Cisco Talos a signalé que Famous Chollima se faisait passer pour des entreprises légitimes et dirigeait des victimes sans méfiance vers des sites Web de tests de compétences où les victimes saisissaient des informations personnelles et répondaient à des questions techniques.
Les sites de tests de compétences se faisaient passer pour de véritables entreprises comme Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap et d'autres, ce qui facilitait le ciblage.
D'après les renseignements provenant de sources ouvertes, seuls quelques utilisateurs, principalement en Inde, ont été touchés. Dileep Kumar HV, directeur de Digital South Belief, a conseillé à l'Inde, pour lutter contre ces escroqueries, d'imposer des audits de cybersécurité aux entreprises de la blockchain et de surveiller les faux sites d'emploi. Il a également plaidé pour une coordination internationaletronen matière de cybercriminalité transfrontalière et de campagnes de sensibilisation au numérique.
Talos enquête sur l'escroquerie et confirme un lien avec la Corée du Nord.
🚨 AVERTISSEMENT : Les hélicoptères de North Korean sont des produits de protection contre la violence domestique. 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲
𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg
— Mayank Dudeja (@imcryptofreak) 20 juin 2025
La société de recherche en cybersécurité Cisco Talos a affirmé que le nouveau cheval de Troie d'accès à distance basé sur Python, appelé « PylangGhost », reliait le logiciel malveillant à un collectif de pirates informatiques affilié à la Corée du Nord appelé « Famous Chollima », également connu sous le nom de « Wagemole ».
L'entreprise a également révélé que le logiciel malveillant PylangGhost était fonctionnellement équivalent au RAT GolangGhost précédemment documenté, partageant de nombreuses capacités similaires. Famous Chollima a utilisé la variante basée sur Python pour cibler les systèmes Windows, tandis que la version Golang visait les utilisateurs de macOS. Les systèmes Linux ont été épargnés par ces dernières attaques.
Selon Talos, ce groupe de cybercriminels est actif depuis 2024 à travers plusieurs campagnes bien documentées. Ces campagnes consistent notamment à utiliser des variantes de l'interview contagieuse (également appelée développement trompeur) et à créer de fausses offres d'emploi et des pages de tests de compétences. Les utilisateurs étaient invités à copier-coller (via ClickFix) une ligne de commande malveillante afin d'installer les pilotes nécessaires à la réalisation de la dernière étape du test de compétences.
Dans le cadre de la dernière escroquerie découverte en mai, les candidats ont été invités à activer l'accès à leur caméra pour un entretien vidéo, puis à copier et exécuter des commandes malveillantes dissimulées sous forme d'installations de pilotes vidéo. Ils ont ainsi utilisé PylangGhost sur leurs appareils. L'exécution commençait par le fichier « nvidia.py », qui effectuait plusieurs tâches : création d'une valeur de registre pour lancer le RAT à chaque connexion utilisateur, génération d'un GUID pour le système afin de communiquer avec le serveur de commande et de contrôle (C2), connexion à ce serveur et entrée dans la boucle de commandes pour communiquer avec lui.
Selon Cisco Talos, « les instructions pour télécharger le correctif supposé diffèrent en fonction de l'empreinte numérique du navigateur et sont également fournies dans le langage shell approprié au système d'exploitation : PowerShell ou Command Shell pour Windows et Bash pour MacOS. »
Talos a constaté que, outre le vol de fonds directement sur les plateformes d'échange, les pirates de Famous Chollima s'intéressaient récemment aux professionnels des cryptomonnaies afin de collecter des informations et potentiellement d'infiltrer des entreprises du secteur. Plus tôt cette année, des pirates nord-coréens ont créé de fausses sociétés américaines, BlockNovas LLC et SoftGlide LLC, pour diffuser des logiciels malveillants via de faux entretiens d'embauche, avant que le FBI ne saisisse le domaine de BlockNovas.
La Corée du Nord apparaît comme une plaque tournante de célèbres opérations de piratage informatique.
En décembre 2024, le piratage de Radiant Capital, d'un montant de 50 millions de dollars, a débuté lorsque des individus nord-coréens se sont fait passer pour d'anciens sous- trac et ont envoyé des fichiers PDF infectés par des logiciels malveillants à des ingénieurs. Le ou les auteurs de ce piratage ont partagé un fichier ZIP sous prétexte de demander des retours sur un nouveau projet en cours.
Un communiqué conjoint du Japon, de la Corée du Sud et des États-Unis a également confirmé que des groupes soutenus par la Corée du Nord, dont Lazarus, ont dérobé au moins 659 millions de dollars lors de multiples vols de cryptomonnaies en 2024. Les émissaires ont noté que les travailleurs nord-coréens à l'étranger, notamment les spécialistes en informatique impliqués dans des « cyberactivités malveillantes », ont joué un rôle majeur dans la capacité du régime à financer ses programmes d'armement grâce au vol et au blanchiment de fonds, y compris de cryptomonnaies.
chez Chainalysis , a confirmé que les pirates informatiques liés à la Corée du Nord étaient de loin les plus actifs dans le domaine des cryptomonnaies ces dernières années. En 2022, ils ont pulvérisé leurs propres records de vol, dérobant pour environ 1,7 milliard de dollars de cryptomonnaies lors de plusieurs piratages, contre 428,8 millions de dollars en 2021.
Cependant, en mai, la plateforme d'échange de cryptomonnaies Kraken a révélé avoir dent dent de base lors des entretiens.
