Les fausses offres d'emploi et entretiens deviennent une nouvelle arme, les hackers nord-coréens ciblent plus de 3100 IP dans le secteur de la cryptographie

La organisation de hackers nord-coréenne PurpleBravo frappe à nouveau. Après avoir volé plus de 2 milliards de dollars dans le marché des cryptomonnaies en 2025, cette organisation a lancé le 22 janvier une vaste opération de recrutement frauduleux, ciblant plus de 3100 adresses Internet liées à l’intelligence artificielle, aux cryptomonnaies et aux services financiers, en menant des attaques d’espionnage en ligne. Cette fois, leur méthode d’entrée est plus discrète : se faire passer pour des recruteurs ou des développeurs, en utilisant de faux entretiens techniques pour inciter les candidats à exécuter du code malveillant sur des appareils d’entreprise.

Le faux recrutement, nouvelle porte d’entrée pour la social engineering

Innovation dans la technique d’attaque

Le nouveau processus d’attaque de PurpleBravo semble simple, mais est très efficace. Les attaquants se font d’abord passer pour des recruteurs d’entreprises de cryptographie ou de technologie, et prennent contact avec les candidats. Ensuite, sous prétexte d’un entretien technique, ils demandent au cible d’accomplir une série de tâches apparemment raisonnables : examiner du code, cloner des dépôts ou réaliser des exercices de programmation. En exécutant ces tâches, le candidat active en réalité du code malveillant soigneusement préparé par les hackers.

L’ingéniosité de cette méthode réside dans l’exploitation de la psychologie des candidats. Les tâches d’entretien paraissent tout à fait légitimes, et les candidats, souvent désireux de faire bonne impression, baissent leur vigilance. Pour les entreprises, la cible est généralement un employé doté de compétences techniques, qui possède souvent des droits d’accès élevés au système.

Disguise et infrastructure

Selon l’analyse de l’organisme de recherche en sécurité Recorded Future, PurpleBravo utilise plusieurs identités fictives, dont une fausse identité ukrainienne. Ils ont déployé deux principaux outils de cheval de Troie à distance :

• PylangGhost : capable de voler automatiquement les identifiants de navigateur et cookies
• GolangGhost : également doté de capacités de vol d’identifiants

De plus, les hackers ont développé une version malveillante de Microsoft Visual Studio Code, implantant un backdoor via un dépôt Git compromis. Leur infrastructure est très sophistiquée, utilisant Astrill VPN et 17 fournisseurs de services pour héberger leurs serveurs de logiciels malveillants.

Menace spécifique pour le secteur de la cryptomonnaie

Pourquoi le secteur crypto est une cible privilégiée

Parmi les plus de 3100 cibles de cette attaque, une proportion importante concerne des sociétés de cryptomonnaie. Ce n’est pas une coïncidence. Les employés du secteur crypto détiennent souvent des clés privées, des accès à des portefeuilles, ou d’autres actifs de grande valeur. En cas de compromission, les hackers peuvent transférer directement des fonds. De plus, la défense des entreprises crypto est souvent moins mature que celle des institutions financières traditionnelles.

D’après les 20 victimes confirmées, elles sont réparties en Asie du Sud, Amérique du Nord, Europe, Moyen-Orient et Amérique centrale. Cela indique que PurpleBravo a des cibles clairement identifiées à l’échelle mondiale.

Signaux d’alerte supplémentaires

Les chercheurs en sécurité ont également découvert que des chaînes Telegram associées vendaient des comptes LinkedIn et Upwork, et que les attaquants avaient interagi avec la plateforme d’échange de cryptomonnaies MEXC. Cela suggère que les hackers pourraient construire une chaîne d’approvisionnement complète : obtenir de vraies identités, créer de faux profils de recherche d’emploi, exécuter des attaques, puis monétiser les actifs volés.

Comment les entreprises peuvent se protéger

Points clés de la défense

Pour les sociétés de cryptomonnaie et les entreprises technologiques, la protection contre ce type d’attaque nécessite une approche en plusieurs couches :

• Vérification du processus de recrutement : confirmer les invitations via des canaux officiels, utiliser l’email de l’entreprise plutôt qu’un email tiers
• Formation des employés : sensibiliser les techniciens aux nouvelles techniques de social engineering, même si la tâche d’entretien semble légitime
• Revue de code : examiner rigoureusement tout code provenant de sources externes, ne pas l’exécuter directement en production
• Contrôle d’accès : limiter les droits sur les appareils des employés, utiliser des machines virtuelles isolées pour traiter les tâches non fiables
• Surveillance et alertes : déployer des outils EDR (Endpoint Detection and Response) pour détecter toute activité anormale liée aux identifiants ou aux connexions réseau

En résumé

Les faux entretiens d’embauche représentent une nouvelle orientation dans la social engineering des hackers. Par rapport aux emails de phishing traditionnels, cette méthode est plus ciblée, exploitant la psychologie des candidats et les failles dans le processus de recrutement des entreprises. Pour le secteur crypto, l’activité continue de PurpleBravo montre que les hackers nord-coréens considèrent toujours cette industrie comme une cible principale. Les entreprises doivent prendre conscience que les employés hautement qualifiés sont souvent la porte d’entrée la plus vulnérable, et que la clé de la défense réside dans la mise en place d’un processus de vérification complet et dans la sensibilisation à la sécurité. Par ailleurs, le partage d’informations et la coopération sectorielle en matière de défense deviennent de plus en plus cruciaux.