Partager cet article
Les hackers nord-coréens ciblent les principales entreprises cryptographiques avec des logiciels malveillants cachés dans les candidatures
Un groupe lié à la RPDC utilise de faux sites d’emploi et des logiciels malveillants Python pour infiltrer les systèmes Windows des professionnels de la blockchain — le vol d’identifiants et l’accès à distance constituant la finalité.
Ce qu'il:
- Un groupe de hackers nord-coréens utilise un logiciel malveillant basé sur Python, déguisé en fausses candidatures d'emploi, pour cibler les travailleurs du secteur des cryptomonnaies.
- Le logiciel malveillant, PylangGhost, est une variante de GolangGhost et vise à infiltrer les entreprises en compromettant des individus.
- Des attaquants se font passer pour des grandes entreprises de crypto-monnaies et incitent les victimes à installer des logiciels malveillants via de faux tests de compétences.
Un groupe de hackers nord-coréens cible les professionnels de la cryptomonnaie avec un logiciel malveillant basé sur Python, déguisé en partie d'un faux processus de candidature, selon les chercheurs de Cisco Talos a déclaré plus tôt cette semaine.
La plupart des victimes semblent être basées en Inde, selon des signaux open source, et semblent être des individus ayant une expérience préalable dans les startups blockchain et cryptomonnaies.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
Bien que Cisco ne signale aucune preuve de compromission interne, le risque plus large reste évident : ces efforts visent à accéder aux entreprises que ces individus pourraient éventuellement rejoindre.
Le logiciel malveillant, nommé PylangGhost, est une nouvelle variante du cheval de Troie d’accès à distance (RAT) GolangGhost précédemment documenté, et partage la plupart des mêmes fonctionnalités — simplement réécrit en Python pour mieux cibler les systèmes Windows.
Les utilisateurs de Mac continuent d’être affectés par la version Golang, tandis que les systèmes Linux semblent ne pas être impactés. L’acteur menaçant derrière la campagne, connu sous le nom de Famous Chollima, est actif depuis le milieu de l’année 2024 et serait un groupe aligné avec la RPD de Corée.
Leur dernier vecteur d'attaque est simple : se faire passer pour des entreprises cryptographiques de premier plan telles que Coinbase, Robinhood et Uniswap via des sites de carrière factices très bien réalisés, et attirer ainsi des ingénieurs logiciels, des marketeurs et des designers à passer des « tests de compétences » mis en scène.
Une fois qu'une cible remplit les informations de base et répond aux questions techniques, elle est invitée à installer de faux pilotes vidéo en collant une commande dans son terminal, ce qui télécharge discrètement et lance le RAT basé sur Python.
La charge utile est cachée dans un fichier ZIP qui comprend l'interpréteur Python renommé (nvidia.py), un script Visual Basic pour décompresser l'archive, ainsi que six modules principaux responsables de la persistance, de l'empreinte système, du transfert de fichiers, de l'accès shell à distance et du vol de données de navigateur.
Le RAT extrait les identifiants de connexion, les cookies de session et les données de portefeuille provenant de plus de 80 extensions, notamment MetaMask, Phantom, TronLink et 1Password.
Le jeu de commandes permet un contrôle total à distance des machines infectées, incluant le téléchargement et le téléversement de fichiers, la reconnaissance système, ainsi que le lancement d'un shell — le tout acheminé via des paquets HTTP chiffrés en RC4.
Les paquets HTTP chiffrés en RC4 sont des données envoyées sur Internet qui sont brouillées à l’aide d’une méthode de chiffrement obsolète appelée RC4. Même si la connexion elle-même n’est pas sécurisée (HTTP), les données à l’intérieur sont chiffrées, mais pas de manière très robuste, car RC4 est dépassé et facilement compromis selon les normes actuelles.
Bien qu'il s'agisse d'une réécriture, la structure et les conventions de dénomination de PylangGhost reflètent celles de GolangGhost presque à l'identique, ce qui suggère que les deux ont probablement été créés par le même opérateur, a déclaré Cisco.
Lire la suite : Des pirates nord-coréens ciblent les développeurs de cryptomonnaies via des sociétés écrans américaines
Plus pour vous
Ce qu'il:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Plus pour vous
Drift de Solana lance la version 3, avec des transactions 10 fois plus rapides
Avec la version 3, l'équipe indique qu'environ 85 % des ordres au marché seront exécutés en moins d'une demi-seconde, et que la liquidité s'approfondira suffisamment pour réduire le glissement sur les transactions importantes à environ 0,02 %.
Ce qu'il:
- Drift, l'une des plus grandes plateformes de trading de contrats perpétuels sur Solana, a lancé Drift v3, une mise à jour majeure visant à rendre le trading on-chain aussi rapide et fluide que celui d'une plateforme centralisée.
- La nouvelle version offrira une exécution des transactions 10 fois plus rapide grâce à une refonte complète du backend, marquant ainsi le plus grand saut de performance réalisé par le projet à ce jour.
À la une
