Quand les cybercriminels nord-coréens passent au niveau supérieur, même les blockchains tremblent sur leurs bases. Depuis février 2025, les hackers du régime de Pyongyang exploitent les fondations mêmes de la cryptomonnaie pour mener des attaques redoutables, au grand désespoir des experts en cybersécurité. Décryptage d’une méthode aussi brillante que redoutable, baptisée « EtherHiding » par les chercheurs de Google.
La blockchain : nouvelle terre promise des malwares nord-coréens
Le Google Threat Intelligence Group (GTIG) a récemment levé le voile sur une innovation inquiétante dans le paysage des cybermenaces. Les hackers nord-coréens, jamais à court d’idées, dissimulent désormais leurs logiciels malveillants directement sur la blockchain, ce fameux réseau décentralisé qui donne vie à tout l’écosystème crypto. Oubliez les serveurs vérolés qui ferment du jour au lendemain : place aux contrats intelligents sur Ethereum ou la Binance Smart Chain.
Les contrats intelligents, pillars de la finance décentralisée (DeFi), sont avant tout de simples programmes automatisés : ils exécutent des actions sans intervention humaine, et gèrent les transactions et la garde des cryptomonnaies. Or, leur caractère ouvert et accessible à tous fait aussi leur faiblesse : il devient un jeu d’enfant pour des pirates de glisser du code malveillant au cœur de ces contrats. Google cite même un exemple de contrat ayant été mis à jour plus de vingt fois… Rien n’arrête la créativité des cyberdélinquants !
Grâce à cette astuce aussi élégante qu’inquiétante, le code malveillant devient quasi indestructible : une fois sur la chaîne, impossible de le supprimer. Plus fort encore, les hackers peuvent adapter et relooker leur malware à loisir, sans craindre la censure ni le bras armé des autorités ou de la cybersécurité. Pour résumer : la blockchain n’est plus seulement un terrain de liberté, elle devient un terrain de jeu pour les criminels les plus déterminés.
Un scénario d’attaque bien huilé
Comment ça se passe côté victime ? Le schéma est aussi simple qu’efficace :
- Création de fausses offres d’emploi : Les hackers vont jusqu’à inventer des start-ups de la crypto, monter de faux profils sur LinkedIn et autres plateformes d’emploi, et attirer les développeurs en quête de nouveaux horizons.
- Entrevue en ligne piégée : Après le premier contact, l’aspirant employé est invité à passer un test technique. C’est là que tout bascule : exécutant gentiment un script, il ouvre la porte à un second script, lequel ira chercher sur la blockchain le redoutable malware « JADESNOW ».
- L’arrivée d’InvisibleFerret : JADESNOW n’est qu’un passe-plat ! Le vrai poison s’appelle InvisibleFerret, un espion high-tech capable de scanner toute la machine pour y extorquer identifiants, mots de passe, mails, et bien sûr, portefeuilles crypto. MetaMask, Phantom, rien n’échappe à ses griffes, surtout pas les fameuses clés privées qui ouvrent grand les coffres du développeur imprudent.
- L’exfiltration et le vol : Les informations volées sont compactées dans une archive ZIP, puis envoyées via Telegram (bot ou canal privé) ou un serveur distant bien planqué. Pas besoin d’être devin pour deviner la suite : l’idée, c’est de siphonner les cryptomonnaies du malheureux développeur, ni vu ni connu.
UNC5342, cerveau de l’opération et champion du vol crypto
Derrière cette opération d’envergure, on retrouve un gang expérimenté mandaté par la Corée du Nord : UNC5342. Ces pirates font la pluie et le beau temps sur l’écosystème, se spécialisant dans le casse numérique de grande ampleur. Leurs exploits n’ont rien à envier à ceux du groupe Lazarus : ensemble, ils ont fait main basse sur plus de 2 milliards de dollars d’actifs numériques cette année, signant même le plus gros braquage de l’histoire de la crypto lors de l’attaque de l’exchange Bybit en février.
Pas de doute pour Robert Wallace, l’un des découvreurs chez Google : « Ce développement signe une escalade du paysage des menaces : des acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l’ordre et aisément adaptables à de nouvelles campagnes. »
Une menace impossible à effacer ?
La leçon : la blockchain, si elle promet une transparence et une résilience hors du commun, devient doublement dangereuse lorsque des groupes organisés comme UNC5342 la détournent pour leurs propres desseins. Cette nouvelle vague d’attaques atteint un tel niveau de sophistication qu’elle met au défi aussi bien les éditeurs d’antivirus que les autorités. Pour la communauté crypto – et tous les curieux du secteur – la vigilance est plus que jamais de mise : sur la blockchain, même les malwares savent se faire invisibles.