Pirates nord-coréens : Campagnes de logiciels malveillants pour obtenir des emplois non autorisés

Des acteurs nord-coréens ont été associés à deux campagnes dans lesquelles ils se font passer pour des recruteurs et des demandeurs d’emploi afin de distribuer des logiciels malveillants et d’obtenir des emplois non autorisés auprès d’organisations basées aux États-Unis et dans d’autres parties du monde.

Nouvelles Menaces en Cybersécurité Identifiées par l’Unité 42 de Palo Alto Networks

L’Unité 42 de Palo Alto Networks a révélé l’existence de deux nouvelles campagnes de cyberattaques, surnommées « Contagious Interview » et « Wagemole ».

Contagious Interview : Attaques Ciblant les Développeurs de Logiciels

  • But: L’objectif principal est le vol de crypto-monnaie et l’utilisation des cibles compromises pour d’autres attaques.
  • Méthode: Les attaquants cherchent à infecter les développeurs avec des logiciels malveillants via de faux entretiens d’embauche.
  • Logiciels malveillants impliqués: BeaverTail et InvisibleFerret, capables de fonctionner sur Windows, Linux et macOS. BeaverTail, un implant JavaScript, peut voler des informations de navigateurs web et de portefeuilles de cryptomonnaies, tandis qu’InvisibleFerret, une porte dérobée basée sur Python, permet un contrôle à distance et l’exfiltration de données.

Wagemole : Visant les Gains Financiers et l’Espionnage

  • Méthode: Cette campagne implique la création de faux CV hébergés sur GitHub, avec de fausses identités d’individus de diverses nationalités.
  • Implications: Ces actions pourraient servir à infiltrer des entreprises internationales, avec les salaires de ces travailleurs finançant potentiellement les programmes d’armement de la Corée du Nord.

Similitudes et Mises en Garde

  • Des similitudes tactiques ont été notées entre Contagious Interview et des menaces nord-coréennes précédentes, telles que l’Opération Dream Job. Microsoft a également averti sur des tactiques similaires employées par le sous-groupe Lazarus, connu sous le nom de Sapphire Sleet.

Autres Informations et Contexte

  • L’utilisation de faux modules dans npm et PyPI par des acteurs nord-coréens a été documentée antérieurement. Plus récemment, une campagne visant les comptes GitHub personnels d’employés de sociétés technologiques a été attribuée à Jade Sleet, également appelé TraderTraitor UNC4899.
  • La découverte de Wagemole fait écho à un récent avertissement du gouvernement américain concernant les stratégies de la Corée du Nord pour contourner les sanctions internationales.

Perspectives et Préventions

  • Selon l’Unité 42, il est probable que Contagious Interview et Wagemole continuent leurs activités. Ils soulignent la vulnérabilité des développeurs de logiciels dans les attaques de la chaîne d’approvisionnement et la menace potentielle d’intégration d’initiés dans les entreprises.
  • Pour se défendre contre ces menaces, y compris Zenbleed et Kubernetes, des stratégies telles que la détection des applications, la réponse rapide et la modélisation automatisée du comportement sont essentielles.

L’Unité 42 encourage une participation active à la conversation sur la cybersécurité et offre des ressources pour combattre ces menaces émergentes.

Partager:

Les dernières actualités :