Netcrook Logo
👤 TRUSTBREAKER
🗓️ 10 Apr 2026   🌍 Asia

Des LLC de Floride aux Faux Développeurs : la Supercherie Malveillante du Groupe Lazarus Frappe l’Industrie de la Blockchain

Des hackers liés à la Corée du Nord intensifient les attaques contre la crypto en enregistrant de vraies entreprises américaines pour diffuser des malwares sophistiqués à des développeurs sans méfiance.

Tout a commencé comme une opportunité professionnelle ordinaire : un développeur reçoit une invitation à collaborer avec une startup blockchain prometteuse, accompagnée d’un dépôt GitHub étincelant et d’un enregistrement officiel d’une LLC en Floride. Mais derrière cette façade soignée se cache l’une des escroqueries les plus élaborées du tristement célèbre Groupe Lazarus, la puissance du cybercrime nord-coréen. Leur dernière campagne, baptisée « graphalgo », est un véritable chef-d’œuvre de tromperie - qui piège même les professionnels de la blockchain les plus prudents.

La nouvelle stratégie du Groupe Lazarus est d’une minutie alarmante. Les enquêteurs de ReversingLabs ont découvert que les hackers ne se sont pas contentés de créer un faux site ou de falsifier un e-mail - ils ont déposé des documents officiels, enregistrant Blocmerce LLC en Floride avec de fausses informations et de faux noms de dirigeants. Les registres publics indiquent de vraies adresses, mais le PDG supposé, Alexandre Miller, est un fantôme. Les chercheurs soupçonnent des identités volées ou inventées, une méthode typique des acteurs nord-coréens cherchant à échapper à la détection et à instaurer la confiance.

Les efforts du groupe pour imiter la légitimité vont encore plus loin. En copiant l’image de marque d’entreprises réelles comme SWFT Blockchain et en créant d’autres entités fictives comme Bridgers Finance, ils fabriquent un écosystème d’entreprise convaincant. Pour les développeurs, l’arnaque est presque indiscernable d’une véritable offre d’emploi ou de partenariat.

Mais la véritable innovation réside dans la méthode technique de livraison. Alors que les campagnes précédentes reposaient sur des paquets npm ou PyPI piégés, cette fois le malware est introduit en tant qu’« artefact de release » sur GitHub. Pire encore, les attaquants réécrivent l’historique des commits pour donner l’illusion d’un développement de projet à long terme, avec de faux contributeurs. Même des développeurs chevronnés peuvent passer à côté de ces subtilités - surtout lorsque les hackers utilisent le typosquattage, comme remplacer un « l » minuscule par un « I » majuscule dans le nom d’utilisateur d’un développeur connu, pour inciter les victimes à installer des paquets piégés.

Une fois le code exécuté, un cheval de Troie d’accès à distance prend silencieusement le contrôle, alertant les attaquants via Telegram ou Slack et enregistrant les infections réussies à l’aide de testnets blockchain. Dès cet instant, toutes les données ou identifiants présents sur la machine compromise sont à la merci des hackers.

La sophistication de la campagne graphalgo rappelle crûment que, dans le monde de la cybersécurité, la confiance peut devenir une arme. À mesure que les attaquants mêlent bureaucratie réelle et ruse numérique, développeurs et entreprises doivent redoubler de vigilance. Isoler le code dans des sandbox, vérifier les employeurs et examiner même les documents les plus « officiels » ne sont plus des options - ce sont des compétences essentielles pour survivre dans le paysage actuel des menaces.

WIKICROOK

  • LLC : Une LLC est une structure juridique d’entreprise américaine qui protège les biens personnels des propriétaires, couramment utilisée par les professionnels et entreprises de cybersécurité.
  • Typosquatting : Le typosquattage consiste à utiliser des noms ressemblant à ceux de sites ou logiciels de confiance pour tromper les utilisateurs et les inciter à visiter de faux sites ou à télécharger des malwares.
  • Artefact de Release : Un artefact de release est un paquet généré lors de la compilation d’un logiciel, contenant les fichiers nécessaires au déploiement, et il est crucial pour une distribution logicielle sécurisée.
  • Cheval de Troie d’Accès à Distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet à des attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
  • Environnement Sandbox : Un environnement sandbox est un espace sécurisé et isolé où des programmes ou fichiers sont testés sans risque, empêchant tout dommage ou fuite de données vers le système principal.
Lazarus Group Blockchain Scam Remote Access Trojan
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news