Les pirates informatiques nord-coréens viennent encore de repousser les limites de l’ingéniosité. Leur nouvelle astuce ? Hacker le monde de la crypto en exploitant une faille insoupçonnée… au cœur même de la blockchain. Et ce ne sont pas de simples petits malandrins : selon Google, ces cybercriminels orchestrent leurs attaques de façon à sidérer toute la cybersécurité mondiale. Décryptage d’un mode opératoire digne d’un film… mais qui, cette fois, se déroule en direct sous nos yeux.
Des malwares désormais planqués dans la blockchain : le grand tournant
Depuis février 2025, un vent de panique souffle sur l’univers crypto. Les chercheurs du Google Threat Intelligence Group (GTIG) ont découvert que des hackers nord-coréens ont commencé à cacher leurs malwares directement sur la blockchain. Oui, sur le réseau décentralisé qui fait tourner vos cryptos préférées !
Ils ont même donné un nom à ce nouveau coup de maître : EtherHiding. Le principe ? Plutôt que d’héberger leur code malveillant sur des serveurs classiques (qui finissent souvent par tomber sous les coups de filet des autorités), les pirates lui offrent un refuge bien plus sûr : les smart contracts, ou contrats intelligents, sur Ethereum et la Binance Smart Chain. Ces petits bouts de code automatisés sont essentiels dans la finance décentralisée (DeFi) : ils gèrent tous les dépôts et transferts de cryptomonnaies entre utilisateurs. Sauf que, désormais, ils servent aussi de cachette idéale pour les hackers…
- Leur méthode : créer un smart contract, y glisser le code malveillant comme une simple donnée, et le déployer.
- Pire : ils peuvent actualiser leur malware en modifiant à volonté le smart contract. L’un d’eux a été mis à jour plus de 20 fois en quatre mois !
- Une fois sur la blockchain, impossible de supprimer le code. Ce sanctuaire est protégé contre toute forme de censure.
Autrement dit : la blockchain devient l’arme parfaite des cybercriminels nord-coréens, leur garantissant une immunité (quasi) absolue face aux efforts des policiers et chercheurs.
Du rêve à cauchemar : comment les pirates piègent leur cible
Tout commence par une fausse opportunité professionnelle. Les pirates se font passer pour des start-ups prometteuses du secteur crypto, imaginant sociétés et profils crédibles sur LinkedIn ou des sites d’emploi. Le développeur ciblé ? Flatté d’être approché, il se laisse entraîner dans un entretien en ligne.
- Pendant la session, on lui demande de passer un « test de compétence ».
- Ce test consiste à lancer un script sur son ordinateur. C’est là que la trappe s’ouvre !
- Le script télécharge un autre script caché dans le fameux smart contract, via la blockchain : le malware JADESNOW fait ainsi son entrée.
Ce n’est qu’un prélude : JADESNOW sert à récupérer puis lancer la véritable menace, directement importée de la blockchain : InvisibleFerret. Et là, terminé la rigolade : ce virus-espion ausculte tout l’ordinateur, quête les identifiants des navigateurs, voisine les adresses mail, fouille même les infos de carte bancaire stockées. Sa cible favorite ? Les portefeuilles crypto au sein d’extensions comme MetaMask ou Phantom. Rien ne lui échappe, et il peut débusquer les clés privées permettant d’accéder à tous les wallets crypto du développeur.
Extraction et fuite : le vrai butin des pirates… et comment ils l’emportent
Une fois le panier garni, le virus emballe toutes les données récoltées (identifiants, mots de passe, clés) dans une archive ZIP bien discrète et l’envoie vers l’extérieur. Pour cela, les hackers sont plutôt organisés :
- Ils passent soit par Telegram (via bot ou canal privé),
- soit par un serveur distant pour réceptionner le pactole.
Et pourquoi ? Pour vider sans vergogne les portefeuilles crypto de leur proie. C’est l’objectif principal de cette opération bien huilée.
Un gang rodé, une menace d’État, et un écosystème crypto sous tension
Derrière ces attaques d’une ampleur rare : le groupe de hackers désigné sous le nom de code UNC5342. Mandatés par le régime nord-coréen, ils n’en sont pas à leur coup d’essai. Experts du vol de cryptomonnaies, ils forment une des principales menaces pesant aujourd’hui sur tout le secteur crypto. À titre d’exemple, rien que cette année, ces cybercriminels nord-coréens ont déjà dérobé la bagatelle de 2 milliards de dollars d’actifs numériques.
Et ce n’est pas tout : leurs compères du groupe Lazarus, autre filiale tristement célèbre aux ordres de Kim Jong Un, sont à l’origine du plus gros piratage de l’histoire des cryptos – Bybit en février dernier s’en souvient encore.
Pour Robert Wallace, chercheur Google, ce nouveau scénario d’attaque marque une escalade dans le paysage des menaces : des acteurs étatiques utilisent désormais des techniques inédites, difficiles à neutraliser et adaptables aux futures campagnes. Un sacré chantier pour les défenseurs du cyberespace !
En conclusion : alors que les cryptos promettaient des échanges inviolables et démocratisés, elles deviennent le théâtre d’une guerre très technique. Développeurs, utilisateurs : prudence absolue devant les offres trop alléchantes… N’oubliez jamais que, derrière un faux job shiny, peut se cacher un “InvisibleFerret” bien décidé à faire la chasse à vos bitcoins !
