Les hackers liés à la Corée du Nord se tournent de plus en plus vers de faux entretiens d'embauche comme moyen d'infiltrer des entreprises opérant dansintelligence artificielle, cryptomonnaie et services financiers.

Plutôt que d'attaquer directement les systèmes, ces groupes exploitent les processus de recrutement et la confiance humaine. Ce changement montre comment les menaces cybernétiques dans le secteur des cryptomonnaies deviennent de plus en plus subtiles et personnelles.

Points clés

• Plus de 3 100 adresses IP liées aux entreprises d'IA, de crypto et de finance ont été ciblées.
• Des recruteurs frauduleux ont utilisé des tâches d'entretien pour livrer du code malveillant.
• Les demandeurs d'emploi ont sans le savoir exposé des systèmes d'entreprise lors des processus de recrutement.

Explorez l'écosystème crypto de manière responsable en vous inscrivant surBitrue.com.

Une nouvelle menace cybernétique cachée dans les entretiens d'embauche

Les chercheurs en sécurité du groupe Insikt de Recorded Future ont identifié une opération à grande échelle connue sous le nom de PurpleBravo, qui se concentrait sur le recrutement plutôt que sur des cyberattaques traditionnelles. La campagne ciblait les demandeurs d'emploi postulant pour des postes dans le domaine de la technologie,cryptoet des entreprises liées à la finance dans plusieurs régions.

Les hackers se faisaient passer pour des recruteurs ou des développeurs légitimes et contactaient des candidats avec des offres d'emploi réalistes. Les conversations semblaient professionnelles et crédibles, impliquant souvent des discussions techniques correspondant au parcours et à l'expérience du candidat.

Dans le cadre du processus d'entretien, les candidats ont été invités à réaliser des évaluations de codage, à examiner du code source ou à cloner des dépôts GitHub. Ces tâches sont courantes dans le recrutement technique, ce qui a rendu les demandes apparemment routinières et inoffensives.

Dans plusieurs cas, les candidats ont effectué les évaluations sur des appareils émis par l'entreprise. Lorsque du code malveillant a été exécuté, cela a créé des points d'accès aux systèmes d'entreprise, exposant bien plus que l'utilisateur individuel.

À lire aussi :Les hackers nord-coréens volent 2 milliards de dollars en actifs numériques

Comment les outils de développement malveillants ont été utilisés

PurpleBravo s'est fortement appuyé sur des outils de développement malveillants déguisés en projets légitimes. Des dépôts GitHub frauduleux étaient conçus pour sembler authentiques, accompagnés de documentation et de code structuré.

Une fois ouverts, ces dépôts déployaient des logiciels malveillants tels que BeaverTail, GolangGhost et PylangGhost. Ces outils étaient capables de voler des identifiants de navigateur, des cookies et des données de session sensibles sur plusieurs plateformes.

Une des techniques les plus avancées impliquait Microsoft Visual Studio Code. Les attaquants ont intégré des commandes malveillantes dans des fichiers de configuration qui s'exécutaient automatiquement une fois que l'utilisateur faisait confiance au dépôt.

Cette méthode a permis aux attaquants d'obtenir un accès à distance sans susciter de suspicion immédiate. GolangGhost a pris en charge plusieurs systèmes d'exploitation, tandis que PylangGhost s'est concentré sur les appareils Windows, augmentant ainsi la portée de la campagne.

Lisez aussi :Hacker lié à la manipulation du prix à faible liquidité de BROCCOLI

Personnages fictifs et risques de la chaîne d'approvisionnement mondiale

Pour soutenir la campagne, les attaquants ont créé de fausses identités en ligne sur des plateformes telles que LinkedIn, GitHub et des marchés de freelances. Ces profils étaient soigneusement entretenus pour paraître crédibles et actifs.

De nombreuses personnes ont prétendu être basées à Odessa, en Ukraine, bien que les chercheurs n'aient pas pu déterminer pourquoi cet emplacement avait été choisi. Malgré cela, les identités ont été utilisées de manière cohérente sur différentes plateformes.

Les chercheurs d'emploi d'Asie du Sud étaient fréquemment ciblés, tandis que les attaquants se présentaient comme des représentants d'entreprises de crypto-monnaie ou de technologie. Certains faux projets ont même promu des initiatives basées sur des tokens soutenues par des canaux Telegram remplis de bots et de liens malveillants.

La préoccupation plus large réside dans l'exposition de la chaîne d'approvisionnement. Un seul développeur compromis peut, sans le vouloir, donner aux attaquants un accès aux données des clients, aux systèmes internes ou aux réseaux des partenaires.

Lisez aussi :$128M volés du protocole Balancer en raison d'une attaque de hacker

Conclusion

La campagne PurpleBravo met en lumière comment les menaces cybernétiques ont évolué au-delà des exploits techniques et se concentrent désormais fortement sur le comportement humain. En abusant des processus de recrutement et des outils de développement de confiance, des hackers nord-coréens ont réussi à accéder à des entreprises dans les secteurs de la cryptographie, de l'IA et des finances.

L'échelle et la portée de cette opération soulignent l'importance de la prudence lors du recrutement et du travail à distance. Une vérification plus rigoureuse, une confiance limitée et une sensibilisation accrue sont désormais essentielles pour protéger les systèmes sensibles dans l'économie numérique.

FAQ

Qu'est-ce que la campagne PurpleBravo

C'est une opération cybernétique liée à la Corée du Nord qui utilise de faux entretiens d'embauche pour distribuer des logiciels malveillants.

Quelles industries ont été ciblées

Cryptomonnaie, intelligence artificielle, services financiers et secteurs technologiques.

Comment les victimes ont-elles été infectées ?

Les victimes ont exécuté du code malveillant lors des tâches de codage liées à l'entretien.

Pourquoi cette attaque est-elle difficile à détecter ?

Il utilise des outils de confiance et des processus de recrutement normaux au lieu d'exploits évidents.

Quel est le plus grand risque pour les entreprises ?