Des hackers nord-coréens ont créé une nouvelle méthode pour corrompre la technologie au cœur des cryptos, en cachant des logiciels malveillants directement sur la blockchain. C'est l'effet de ce qu'on appelle « EtherHiding », une attaque qui utilise la blockchain Ethereum et la Binance Smart Chain.
Les pirates du régime de Pyongyang ont trouvé le moyen d'insérer leurs codes malveillants dans des contrats intelligents, des programmes automatisés capables d'exécuter des actions directement sur une blockchain. Ces contrats sont massivement utilisés dans le monde de la finance décentralisée.
La chaîne de blocs protège les codes des hackers contre la censure, ce qui signifie que ces logiciels ne peuvent pas être supprimés une fois qu'ils ont été insérés sur la blockchain. C'est là que l'arme est le plus puissante, car les pirates peuvent mettre à jour à tout moment le code malveillant en modifiant le smart contract.
Les hackers nord-coréens commencent par de fausses offres d'emploi pour des développeurs, afin d'appâter les cibles. Ils inventent des sociétés et des profils crédibles sur les réseaux professionnels ou des sites de recherche d'emploi, et invite le développeur intéressé à un entretien en ligne.
Pendant l'entretien, la victime devra réaliser un test de compétence. C'est là que le piège se referme, car le script va déclencher le téléchargement d'un autre script, caché dans un contrat intelligent sur une blockchain. Le malware JADESNOW entre alors en scène.
Ce malware sert uniquement à récupérer et à lancer la véritable charge malveillante à partir de la blockchain, à savoir InvisibleFerret. Ce virus espion va se mettre à surveiller tout ce qu'il se passe sur l'ordinateur, en fouillant tous les navigateurs pour extraire des mots de passe, identifiants enregistrés, adresses email et même informations de cartes bancaires sauvegardées.
Une fois les données volées, le virus les regroupe dans une archive ZIP et les envoie discrètement vers l'extérieur. Les pirates utilisent Telegram, via un bot ou un canal privé, ou un serveur distant, pour réceptionner les informations compromises.
Derrière cette opération d'envergure, on trouve un gang de pirates mandatés par la Corée du Nord, évoqué sous le nom de code de UNC5342. Très expérimenté, le groupe est spécialisé dans le vol de cryptomonnaies. Cette année, les cybercriminels nord-coréens ont déjà volé 2 milliards de dollars d'actifs numériques.
Cette nouvelle attaque montre une escalade du paysage des menaces, car les acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l'ordre et aisément adaptables à de nouvelles campagnes.
Les pirates du régime de Pyongyang ont trouvé le moyen d'insérer leurs codes malveillants dans des contrats intelligents, des programmes automatisés capables d'exécuter des actions directement sur une blockchain. Ces contrats sont massivement utilisés dans le monde de la finance décentralisée.
La chaîne de blocs protège les codes des hackers contre la censure, ce qui signifie que ces logiciels ne peuvent pas être supprimés une fois qu'ils ont été insérés sur la blockchain. C'est là que l'arme est le plus puissante, car les pirates peuvent mettre à jour à tout moment le code malveillant en modifiant le smart contract.
Les hackers nord-coréens commencent par de fausses offres d'emploi pour des développeurs, afin d'appâter les cibles. Ils inventent des sociétés et des profils crédibles sur les réseaux professionnels ou des sites de recherche d'emploi, et invite le développeur intéressé à un entretien en ligne.
Pendant l'entretien, la victime devra réaliser un test de compétence. C'est là que le piège se referme, car le script va déclencher le téléchargement d'un autre script, caché dans un contrat intelligent sur une blockchain. Le malware JADESNOW entre alors en scène.
Ce malware sert uniquement à récupérer et à lancer la véritable charge malveillante à partir de la blockchain, à savoir InvisibleFerret. Ce virus espion va se mettre à surveiller tout ce qu'il se passe sur l'ordinateur, en fouillant tous les navigateurs pour extraire des mots de passe, identifiants enregistrés, adresses email et même informations de cartes bancaires sauvegardées.
Une fois les données volées, le virus les regroupe dans une archive ZIP et les envoie discrètement vers l'extérieur. Les pirates utilisent Telegram, via un bot ou un canal privé, ou un serveur distant, pour réceptionner les informations compromises.
Derrière cette opération d'envergure, on trouve un gang de pirates mandatés par la Corée du Nord, évoqué sous le nom de code de UNC5342. Très expérimenté, le groupe est spécialisé dans le vol de cryptomonnaies. Cette année, les cybercriminels nord-coréens ont déjà volé 2 milliards de dollars d'actifs numériques.
Cette nouvelle attaque montre une escalade du paysage des menaces, car les acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l'ordre et aisément adaptables à de nouvelles campagnes.
Et puis, la blockchain, elle est comme une arme à double tranchant, on peut l'utiliser pour protéger ou pour attaquer. C'est un peu la même chose avec les contrats intelligents, ils peuvent être utilisés pour faire de bons choses ou pour faire de mauvaises choses.
Et l'idée qu'il y ait des logiciels malveillants cachés sur la blockchain c'est un peu like quand tu trouves une erreur dans ta recherche, mais il faut aller vérifier pour m'assurer que ça ne se reproduira pas ! 
! Les hackers nord-coréens, ces salopards, ils sont capables de tout maintenant ! Comment est-ce possible que nous soyons si vulnérables face à ces techniques ? Le EtherHiding, c'est comme une énorme balle de neige qui peut s'écraser n'importe où, et personne ne peut rien faire pour l'arrêter. Et les contrats intelligents, c'est comme avoir un programme automatisé qui peut exécuter des actions sans notre contrôle, c'est terrifiant ! 
. Et c'est vraiment génial que les hackers nord-coréens utilisent des offres d'emploi pour gagner la confiance de leurs victimes, comme si ce n'était pas déjà assez difficile d'être un développeur talentueux sur le marché du travail 
. Et bien sûr, qui n'aime pas l'idée que les données personnelles soient volées et envoyées via Telegram ? 
Comment peuvent-ils nous tromper comme ça ? Il faut vraiment être prudent lorsque l'on travaille avec des réseaux professionnels ou des sites de recherche d'emploi en ligne. #SécuritéCyber
C'est vraiment un exemple de l'escalade du paysage des menaces. Nous devons être prudents et nous préparer à ces nouvelles attaques ! #ÉtatDeSécurité
. Ces hackers nord-coréens sont vraiment habiles, ils usent même la blockchain pour cacher leurs logiciels malveillants ! C'est compliqué pour les développeurs qui ne savent pas comment se protéger contre ces attaques. Moi, je pense qu'on devrait faire des cours de sécurité en ligne pour que les gens puissent s'apprendre à éviter ces pièges 
.
! Comment ça se fait que des gens aussi pourrius puissent s'appâter des développeurs pour qu'ils uploadent du malware sur la blockchain ? 
! Et puis, ils utilisent des logs de blocs pour cacher leurs codes malveillants et les mettre à jour en tout temps 
. C'est comme si on avait une bombe à la main et qu'on ne savait pas quand elle allait détonner 
!
. Et les contrats intelligents, c'est vraiment génial pour leur méthode d'EtherHiding. Je me demande, est-ce que ça pourrait être utile pour protéger la sécurité des données ? Oui, c'est une question de sécurité qui nous préoccupe tous. Mais peut-être qu'on devrait plutôt discuter du fait qu'ils soient si expérimentés dans le vol de cryptomonnaies...