Développeurs crypto, attention : la Corée du Nord vous vise avec cette nouvelle attaque

La Corée du Nord vise les développeurs crypto

Les hacks aux cryptomonnaies sont une stratégie malheureusement courante pour la Corée du Nord. L’État utilise en effet des équipes de hackers pour dérober des cryptomonnaies visant notamment à financer son programme d’armement nucléaire.

Cet automne, les chercheurs de la firme de cybersécurité Socket lancent l’alerte : les hackers visent en ce moment les développeurs crypto. Selon eux, la Corée du Nord aurait visé une des bibliothèques logicielles les plus utilisées au monde : le registre npm.

💡 Notre guide pour sécuriser et stocker ses cryptomonnaies

Selon Socket, plus de 300 paquets de code malveillant ont été découverts sur le registre, qui est utilisé pour installer et partager des logiciels JavaScript.

Une fois installés, ces paquets exécutent discrètement un malware, qui permet de dérober des mots de passe, des données de navigateur, ainsi que des clés liées à des portefeuilles de cryptomonnaies. Toujours selon le rapport, 5000 téléchargements de ces paquets malveillants auraient eu lieu avant que certains ne soient supprimés.

Attention aux modifications de noms

Pour endormir les soupçons, les hackers utilisent des noms réputés, en changeant une lettre ou 2 :

Dans le domaine du recrutement crypto, les kits Web3 sont également pris pour cible.

Voici quelques exemples de variantes typographiques :

• ethers.js est imité par des variantes typographiques comme ethrs.js et ethres.js ;

• web3.js devient we3.js ou wb3.js ;

• des fautes d’orthographe systématiques sur truffle (truffel), ganache (ganacche) et foundry (foudry), ainsi que des paquets à thème hardhat tels que hardhat-deploy-notifier et hardhat-deploy-notification.

• également des imitations de noms de marques, par exemple metamask-api.

Faux comptes LinkedIn et réseaux d’arnaque

Il faut aussi souligner que les malfaiteurs combinent les techniques. Ils font parfois usage de faux comptes LinkedIn de recruteurs, une méthode dont nous vous avions déjà parlé.

Nous avons découvert que les acteurs malveillants enregistraient des adresses e-mail conçues pour ressembler à celles de recruteurs, de responsables RH ou de profils « tech », afin de mieux tromper les développeurs et les chercheurs d’emploi.

La Corée du Nord a en effet élevé le hack de cryptomonnaies à un niveau industriel, avec des réseaux très développés.

Les cibles comprennent les développeurs du Web3, de la cryptomonnaie et de la blockchain, ainsi que les candidats à des postes techniques approchés par de faux recruteurs, ce qui conduit à des compromissions en plusieurs étapes et à des pertes financières.

🌐 Dans l’actualité – Arnaque ACCGN : est-ce que je dois payer 120 USDT ? Que faire ?

GitHub, le propriétaire du registre npm, a confirmé qu’il supprimait les paquets compromis à mesure qu’ils apparaissaient, mais ces derniers sont trop nombreux et créés trop régulièrement pour qu’il puisse tous les pister.

La consigne est donc la plus grande prudence pour les développeurs : il faut scanner les dépendances avant leur intégration et l’utilisation d’outils de vérification automatisés doit malheureusement devenir une norme.

Source : Socket