Comment les hackeurs nord-coréens infiltrent les startups crypto via Zoom
Des groupes de menaces nord-coréens mènent une campagne d’attaques ciblées contre les entreprises de cryptomonnaies, en utilisant de fausses invitations Zoom pour infiltrer leurs systèmes. Cette opération de social engineering vise les secteurs Web3 et blockchain avec des entretiens fictifs qui servent à diffuser un malware avancé.
Leur méthode repose sur une tactique de confiance bien rodée. Les attaquants se présentent comme des recruteurs offrant des postes attrayants. Une fois la victime engagée, elle est conviée à un faux entretien Zoom, accompagné d’instructions pour installer un prétendu « script de mise à jour Zoom SDK ». Ce script est en réalité un vecteur d’infection.
Une technique connue mais nettement perfectionnée
La méthode n’est pas nouvelle pour les acteurs nord-coréens, mais elle a évolué techniquement. Active depuis plus d’un an, cette campagne vise spécifiquement les professionnels du secteur crypto.
Les chercheurs en cybersécurité ont observé une complexification marquée du malware. Il est désormais conçu avec plusieurs langages de programmation, rendant l’analyse plus difficile et échappant aux outils de sécurité traditionnels.
Déroulement de la chaîne d’attaque
La campagne suit une structure bien établie :
-
Contact de la cible via messagerie ou email avec une offre d’emploi
-
Planification d’un faux entretien Zoom
-
Envoi d’un lien et d’un faux script d’installation
-
Exécution du malware avec manipulation du système macOS via AppleScript, C++ et des binaires compilés avec Nim
Chaque langage joue un rôle spécifique : AppleScript exploite le système natif macOS, C++ gère les fonctionnalités principales, et Nim permet une évasion avancée.
Pourquoi Nim est crucial dans cette attaque
L’un des aspects techniques les plus notables est l’utilisation de Nim, un langage peu utilisé, mais capable de produire des exécutables légers et discrets.
Nim permet de contourner les outils de détection basés sur les signatures classiques. Son code diffère fortement des langages habituellement utilisés pour les malwares, ce qui perturbe les moteurs d’analyse automatique.
Ce que le malware vole
Une fois actif, le malware établit une communication persistante via WebSocket sécurisé. Cela permet aux hackeurs d’exécuter des commandes à distance et d’exfiltrer les données sensibles.
Les informations ciblées incluent :
-
Identifiants et cookies des navigateurs (Chrome, Brave, Edge, Firefox, Arc)
-
Données Keychain macOS (mots de passe et jetons d’accès)
-
Données Telegram, y compris les messages chiffrés et les codes 2FA
Avec ces données, les attaquants peuvent accéder aux portefeuilles crypto, aux comptes d’échange et aux communications confidentielles.
Menace réelle pour les acteurs du Web3
Cette campagne prouve que les États hostiles continuent d’innover pour compromettre les systèmes crypto. Le recours à des langages peu courants et à une exfiltration en temps réel représente une menace croissante.
Les entreprises crypto doivent renforcer leur posture de sécurité, notamment avec des solutions de protection des terminaux et une surveillance proactive du code malveillant.
Chez ZENDATA, nous proposons des services de cybersécurité adaptés aux startups blockchain et aux plateformes crypto. De la détection avancée à la sécurisation des systèmes, notre expertise protège vos actifs numériques.
Conclusion
Cette attaque illustre la stratégie offensive de la Corée du Nord pour déstabiliser l’écosystème crypto à travers des techniques pointues et du social engineering. Les entreprises doivent rester vigilantes et sensibiliser leurs équipes aux signaux d’alerte.
Lisez l’article complet de Cybersecurity News.
