{"id":1426,"date":"2025-10-20T10:58:28","date_gmt":"2025-10-20T08:58:28","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/quand-la-coree-du-nord-cache-ses-malwares-dans-la-blockchain\/"},"modified":"2025-10-20T10:58:28","modified_gmt":"2025-10-20T08:58:28","slug":"quand-la-coree-du-nord-cache-ses-malwares-dans-la-blockchain","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/quand-la-coree-du-nord-cache-ses-malwares-dans-la-blockchain\/","title":{"rendered":"Quand la Cor\u00e9e du Nord cache ses malwares dans la blockchain"},"content":{"rendered":"

Car oui d\u2019apr\u00e8s
\n une enqu\u00eate de Google Threat Intelligence<\/a>
\nle groupe nord-cor\u00e9en UNC5342 (aussi connu sous une dizaine d\u2019autres noms selon qui le traque) a adopt\u00e9 une technique qui fait froid dans le dos : EtherHiding<\/strong>. Le principe c\u2019est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c\u2019est la premi\u00e8re fois qu\u2019on documente qu\u2019un \u00e9tat-nation utilise cette m\u00e9thode.<\/p>\n

La blockchain, cette technologie impossible \u00e0 censurer, car d\u00e9centralis\u00e9e par essence vient de devenir l\u2019arme parfaite d\u2019un r\u00e9gime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l\u2019effacer. M\u00eame si tout le monde sait qu\u2019il est l\u00e0 et m\u00eame si vous avez l\u2019adresse exacte.<\/p>\n

C\u2019est tout le concept !<\/p>\n

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c<\/code> c\u2019est donc le smart contract que les Nord-Cor\u00e9ens ont utilis\u00e9 et Google a observ\u00e9 depuis plus de 20 mises \u00e0 jour sur ce contrat en l\u2019espace de 4 mois. Le co\u00fbt de chaque transaction est d\u2019environ 1,37 dollar, soit le prix d\u2019un caf\u00e9 que la Cor\u00e9e du Nord doit payer pour d\u00e9ployer et mettre \u00e0 jour son infrastructure d\u2019attaque qui devient ainsi permanente et indestructible.<\/p>\n

Un missile balistique \u00e7a co\u00fbte des millions alors que ce genre de \u201ccyber missile\u201d stock\u00e9 sur la blockchain \u00e7a co\u00fbte rien et le retour sur investissement est colossal. \nOn parle de 2 milliards de dollars vol\u00e9s rien qu\u2019au premier semestre 2025<\/a> \n. En f\u00e9vrier dernier, \nle groupe Lazarus<\/a> \n(m\u00eame famille, autre branche) a m\u00eame \u00e9ussi le plus gros casse crypto de l\u2019histoire en \nvolant 1,5 milliard de dollars \u00e0 l\u2019exchange Bybit<\/a> \n. Depuis 2017, ce serait donc au total plus de 6 milliards vol\u00e9s et devinez o\u00f9 va cet argent ?<\/p>\n

Dans le programme de missiles de la Cor\u00e9e du Nord et dans le contournement des sanctions internationales.<\/p>\n

La campagne s\u2019appelle \u201cContagious Interview<\/em>\u201d et elle cible sp\u00e9cifiquement les d\u00e9veloppeurs. Les Nord-Cor\u00e9ens cr\u00e9ent de fausses bo\u00eetes avec des noms qui sonnent bien, genre \u201cBlockNovas LLC\u201d, montent des sites web complets, des profils LinkedIn qu\u2019ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les \u00e9tapes d\u2019un processus de recrutement classique, d\u00e9placent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux \u201ctest technique\u201d h\u00e9berg\u00e9 sur GitHub.<\/p>\n

Le code contient un loader JavaScript appel\u00e9 JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. \u00c7a ne co\u00fbte rien en frais de transaction, \u00e7a n\u2019alerte personne, et \u00e7a r\u00e9cup\u00e8re le payload chiffr\u00e9 stock\u00e9 dans le smart contract. Une fois d\u00e9chiffr\u00e9, \u00e7a d\u00e9ploie alors d\u2019autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.<\/p>\n

\n\n<\/p>\n

Et leur seul but c\u2019est de voler vos cryptos, bien s\u00fbr, mais aussi installer un acc\u00e8s persistant \u00e0 votre machine pour de futures op\u00e9rations.<\/p>\n

On est donc tr\u00e8s loin ici du sch\u00e9ma du hacker solitaire dans son sous-sol. L\u00e0 on parle d\u2019\u00e9quipes enti\u00e8res financ\u00e9es par un \u00e9tat, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des op\u00e9rations de social engineering sur plusieurs mois. Ils utilisent m\u00eame la technique du \u201cClickFix\u201d qui consiste \u00e0 afficher un faux message d\u2019erreur qui pousse l\u2019utilisateur \u00e0 installer quelque chose pour \u201ccorriger\u201d le probl\u00e8me. \u00c7a exploite notre r\u00e9flexe naturel de vouloir r\u00e9parer ce qui est cass\u00e9 et le pire dans tout \u00e7a, c\u2019est que les plateformes comme LinkedIn ou GitHub sont coinc\u00e9es.<\/p>\n

Bah oui, comment voulez-vous distinguer un vrai recruteur d\u2019un faux quand l\u2019attaquant a trois mois devant lui pour construire une identit\u00e9 cr\u00e9dible ?<\/p>\n

Bref, les d\u00e9veloppeurs blockchain sont devenus les nouvelles cibles premium et contrairement \u00e0 une banque ou une plateforme crypto qui a des \u00e9quipes s\u00e9curit\u00e9, ceux l\u00e0 sont tout seuls derri\u00e8re leur \u00e9cran.<\/p>\n

Selon \nles chercheurs de Mandiant<\/a> \n, UNC5342 utilise cette technique depuis f\u00e9vrier 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-cor\u00e9ens, c\u2019est pas vraiment le genre de side project qu\u2019on veut sur son CV ^^.<\/p>\n

Source<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"