Des hackers nord-coréens exploitent la blockchain pour dissimuler des malwares
Des chercheurs en cybersécurité de Google Threat Intelligence Group (GTIG) ont documenté une opération sophistiquée menée par un groupe de pirates nord-coréens, identifié comme UNC5342, qui utilise depuis février 2025 une technique baptisée „EtherHiding” : l’insertion de malwares dans des smart contracts publics sur des blockchains comme Ether (Ethereum) ou la BNB Smart Chain.
Cette approche permet aux pirates de s’appuyer sur les caractéristiques mêmes de la blockchain : permanence, décentralisation, accès public et quasi-impossibilité de suppression des contrats malveillants.
Comment fonctionne la chaîne d’attaque
La méthode se déploie en plusieurs phases :
- Une usurpation de profil de recruteur sur LinkedIn ou Telegram visant des développeurs en crypto ou Web3.
- L’envoi d’un fichier ou d’un lien malveillant, souvent présenté comme un test technique ou un exercice de codage. Une fois exécuté, ce fichier déclenche un script JavaScript (loader) nommé « JADESNOW ».
- Le loader contacte alors un smart contract public sur Ethereum/BNB pour récupérer un second-stage malveillant : le backdoor « INVISIBLEFERRET ». Ce mécanisme n’engendre aucune transaction visible (pas de frais de gaz explicites pour l’appel), ce qui rend sa traçabilité très faible.
- Une fois installé, le malware peut extraire des données sensibles : clés de portefeuilles crypto (MetaMask, Phantom), identifiants de connexion, mots de passe enregistrés, etc.
Pourquoi cette technique est redoutable
- La blockchain étant immuable, un smart contract malveillant ne peut pas être modifié ou supprimé facilement ; les acteurs de la défense ne disposent pas des leviers classiques pour « fermer » l’infrastructure.
- L’absence d’appel visible ou de transaction flagrante rend difficile la détection par les outils de cybersurveillance traditionnels.
- Le modèle pseudonyme des blockchains permet aux attaquants de dissimuler l’origine des contrats malveillants et de mettre à jour leurs charges utiles à volonté.
- Le ciblage des développeurs de la crypto et du Web3 indique une stratégie mûrement réfléchie : ces professionnels disposent d’accès techniques et financiers, ce qui rend l’impact potentiellement très important.
Conséquences possibles pour la crypto et la cybersécurité
Cette nouvelle manœuvre ouvre plusieurs lignes de préoccupations :
- Le risque de vol d’actifs numériques est accru. Quand le malware cible les portefeuilles d’acteurs de la crypto, les pertes peuvent être massives.
- La vulnérabilité des professionnels du secteur Web3 est mise en lumière : recrutement fake, fichiers piégés, dépendance aux outils de développement, tout y passe.
- Pour les autorités et experts en cybersécurité, l’attaque marque une évolution des acteurs étatiques vers des techniques qui étaient jusqu’à maintenant l’apanage de cyber-criminels « classiques ».
- Enfin, elle pose la question de la régulation & de la gouvernance des infrastructures blockchain : qu’est-ce qui doit être fait pour prévenir l’usage malveillant de ces environnements par des États ou groupes hors contrôle ?
Vers quoi se diriger
Pour limiter ce type de menace, plusieurs mesures sont suggérées :
- Renforcer la vigilance des professionnels Web3 : vérifier les offres d’emploi, ne pas exécuter de fichiers suspects, auditer les npm packages ou GitHub utilisés.
- Mettre en place une surveillance spécialisée des smart contracts déployés avec des comportements non-évidents ou comme drop points pour des payloads.
- Collaborer entre acteurs de la sécurité, plateformes blockchain, fournisseurs d’API et autorités pour développer des signaux d’alarme plus efficaces sur l’usage malveillant de la blockchain.
💬 Et vous ? Pensez-vous que cette utilisation de la blockchain par un État pour dissimuler des malwares marque un tournant dans la cyberguerre ? Quels moyens devraient à votre avis être mis en œuvre pour y faire face efficacement ?
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.