Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Crypto Hunters : Les arnaques à l’emploi de la Corée du Nord déchaînent les malwares BeaverTail et OtterCookie

Les fausses offres d’emploi du célèbre groupe Chollima attirent les victimes dans une nouvelle génération de malwares, ciblant portefeuilles crypto et identifiants grâce à des outils cybernétiques évolutifs et furtifs.

En Bref

  • Le groupe nord-coréen Famous Chollima utilise de fausses offres d’emploi tech pour diffuser de nouveaux malwares.
  • Deux souches de malware, BeaverTail et OtterCookie, ont fusionné pour voler des actifs crypto et des données utilisateur.
  • Les dernières versions du malware peuvent enregistrer les frappes clavier et prendre des captures d’écran du bureau toutes les quatre secondes.
  • Les cibles incluent des portefeuilles crypto populaires comme MetaMask et Trust Wallet.
  • Les attaques gagnent en sophistication, se concentrant sur les extensions de navigateur et contournant les outils de sécurité traditionnels.

L’appât : comment les faux emplois ferrent les victimes crypto

Imaginez ouvrir votre boîte mail et y trouver l’offre d’emploi tech de vos rêves. Mais derrière des mots prometteurs se cache un piège : un malware conçu pour vous dépouiller. C’est la dernière manœuvre de Famous Chollima, un groupe de hackers lié à la Corée du Nord, tristement célèbre pour son recours à l’ingénierie sociale - tromper les gens, pas seulement les machines - pour forcer les verrous numériques.

Dans leur dernière campagne, révélée par Cisco Talos, les attaquants agitent des offres d’emploi alléchantes devant des utilisateurs sans méfiance, les incitant à installer des applications apparemment légitimes. L’une d’elles, Chessfi, agit comme un cheval de Troie. Lorsque la victime exécute une simple commande d’installation, un paquet sournois nommé “node-nvm-ssh” est discrètement téléchargé, libérant un nouvel hybride de deux souches de malware : BeaverTail et OtterCookie.

Évolution du malware : des voleurs de données aux espions numériques

À l’image d’un virus qui apprend de nouveaux tours, ces familles de malware sont rapidement devenues plus dangereuses. Les premières versions se concentraient sur le vol de profils de navigateur, mais au cours de l’année écoulée, elles ont appris à piller le contenu du presse-papiers (où des textes sensibles comme des mots de passe ou des adresses de portefeuilles crypto peuvent être copiés) et à dérober des fichiers sur chaque disque connecté à l’ordinateur.

La version la plus récente, baptisée OtterCookie V5, se montre particulièrement audacieuse : elle enregistre chaque frappe clavier et prend des captures d’écran de votre ordinateur toutes les quatre secondes. Toutes ces informations volées - vos mots de passe, vos clés privées, voire vos conversations secrètes - sont transmises directement au centre de commande des hackers.

Ce n’est pas seulement du code ingénieux ; c’est une chasse implacable et évolutive à l’or numérique. Les attaquants ont même rationalisé leur malware, concentrant ses fonctionnalités principales dans du JavaScript, le langage du web, ce qui le rend plus difficile à détecter par les antivirus et plus facile à propager via des attaques basées sur le navigateur.

Les portefeuilles crypto dans la ligne de mire

Le vrai butin ? La cryptomonnaie. Le malware cible les portefeuilles basés sur navigateur comme MetaMask, Trust Wallet et Binance Chain Wallet, qui détiennent les clés de fortunes considérables. Ces outils sont populaires pour leur praticité, mais cela en fait aussi des cibles de choix. Si un hacker compromet votre navigateur, votre réserve crypto peut disparaître en quelques secondes.

Cette campagne n’est que la dernière d’une longue série de cyber-braquages nord-coréens. Le Lazarus Group - autre équipe tristement célèbre soutenue par Pyongyang - a utilisé des stratagèmes similaires de faux emplois, se faisant parfois passer pour des recruteurs de sociétés fictives comme BlockNovas LLC. À chaque fois, l’objectif est le même : siphonner des actifs numériques pour financer le régime isolé.

Les chercheurs en sécurité avertissent qu’avec le durcissement des sanctions et la pression sur l’économie nord-coréenne, ces attaques risquent de s’intensifier, ciblant individus et entreprises du monde entier qui ne s’y attendent pas - ceux qui recherchent une opportunité sur un marché de l’emploi tech très concurrentiel.

À mesure que la cybercriminalité se perfectionne, la frontière entre opportunité et danger s’estompe. Dans un monde où la prochaine offre d’emploi pourrait être un piège numérique redoutable, la vigilance reste le seul bouclier. La leçon : faites confiance, mais vérifiez - surtout quand votre portefeuille numérique est en jeu.

WIKICROOK

  • Malware : Un malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données sur des appareils informatiques sans le consentement de l’utilisateur.
  • Keylogger : Un keylogger est un outil qui enregistre secrètement tout ce qu’un utilisateur tape, souvent utilisé par les cybercriminels pour voler mots de passe et informations sensibles.
  • Serveur de Commande et Contrôle (C2) : Un serveur de Commande et Contrôle (C2) gère à distance les appareils infectés par des malwares, envoyant des instructions et recevant les données volées des systèmes compromis.
  • Extension de navigateur : Une extension de navigateur est un petit module qui améliore les fonctionnalités du navigateur mais peut aussi être détourné par des hackers pour voler des données ou espionner les utilisateurs.
  • Cheval de Troie : Un cheval de Troie est un logiciel malveillant déguisé en application légitime, conçu pour tromper les utilisateurs afin de voler des données ou endommager les appareils.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news