{"id":1547840,"date":"2025-02-20T12:31:16","date_gmt":"2025-02-20T14:31:16","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour-deployer-des-logiciels-malveillants\/"},"modified":"2025-02-20T12:31:22","modified_gmt":"2025-02-20T14:31:22","slug":"les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour-deployer-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour-deployer-des-logiciels-malveillants\/","title":{"rendered":"Les pirates nord-cor\u00e9ens ciblent les d\u00e9veloppeurs ind\u00e9pendants dans l&#8217;escroquerie pour d\u00e9ployer des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les d\u00e9veloppeurs de logiciels ind\u00e9pendants sont la cible d&#8217;une campagne en cours qui tire parti des leurres sur le th\u00e8me des entretiens d&#8217;embauche pour offrir des familles de logiciels malveillants multiplateformes appel\u00e9s Beavertail et InvisibleFerret.<\/p>\n<p>L&#8217;activit\u00e9, li\u00e9e \u00e0 la Cor\u00e9e du Nord, a \u00e9t\u00e9 nomm\u00e9e DeceptedEvelow, qui chevauche des clusters suivis sous l&#8217;interview contagieuse (aka CL-Sta-0240), Dev # Popper, Famous Chollima, Purplebravo et Tenace Pungsan. La campagne est en cours depuis au moins fin 2023.<\/p>\n<p>&#8220;DeceptivedEvelopment cible les d\u00e9veloppeurs de logiciels ind\u00e9pendants par le biais de phisces de lance sur les sites de chasse au travail et de freelance, visant \u00e0 voler des portefeuilles de crypto-monnaie et des informations de connexion des navigateurs et des gestionnaires de mots de passe&#8221;, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ESET ESET ESET <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/deceptivedevelopment-targets-freelance-developers\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>En novembre 2024, ESET a confirm\u00e9 aux Hacker News les chevauchements entre le d\u00e9veloppement trompeur et l&#8217;interview contagieuse, le classant comme une nouvelle activit\u00e9 de groupe Lazare qui fonctionne dans le but de mener un vol de crypto-monnaie.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque sont caract\u00e9ris\u00e9es par l&#8217;utilisation de faux profils de recruteurs sur les r\u00e9seaux sociaux pour atteindre des cibles potentielles et partager avec eux des bases de code trojanis\u00e9es h\u00e9berg\u00e9es sur Github, Gitlab ou Bitbucket qui d\u00e9ploient les d\u00e9ambulations sous pr\u00e9texte d&#8217;un processus d&#8217;entrevue.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les it\u00e9rations ult\u00e9rieures de la campagne se sont \u00e9tendues \u00e0 d&#8217;autres plates-formes de recherche d&#8217;emploi comme Upwork, Freelancer.com, nous travaillons \u00e0 distance, Moonlight et Crypto Jobs. Comme indiqu\u00e9 pr\u00e9c\u00e9demment, ces d\u00e9fis d&#8217;embauche impliquent g\u00e9n\u00e9ralement de corriger les bogues ou d&#8217;ajouter de nouvelles fonctionnalit\u00e9s au projet li\u00e9 \u00e0 la crypto.<\/p>\n<p>Outre les tests de codage, le faux projette se masquera comme des initiatives de crypto-monnaie, des jeux avec la fonctionnalit\u00e9 blockchain et des applications de jeu avec des fonctionnalit\u00e9s de crypto-monnaie. Plus souvent qu&#8217;autrement, le code malveillant est int\u00e9gr\u00e9 dans un composant b\u00e9nin sous la forme d&#8217;une seule ligne.<\/p>\n<p>&#8220;En outre, ils sont invit\u00e9s \u00e0 construire et \u00e0 ex\u00e9cuter le projet afin de le tester, ce qui se produit le compromis initial&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Mat\u011bj Havr\u00e1nek. &#8220;Les r\u00e9f\u00e9rentiels utilis\u00e9s sont g\u00e9n\u00e9ralement priv\u00e9s, de sorte que le VIC-M est d&#8217;abord invit\u00e9 \u00e0 fournir leur identifiant de compte ou leur adresse e-mail \u00e0 leur accueillir, les plus susceptibles de cacher l&#8217;activit\u00e9 malveillante aux chercheurs.&#8221;<\/p>\n<p>Une deuxi\u00e8me m\u00e9thode utilis\u00e9e pour obtenir un compromis initial tourne autour du fait de tromper leurs victimes dans l&#8217;installation d&#8217;une plate-forme de conf\u00e9rence vid\u00e9o \u00e0 base de logiciels malveillants comme Mirotalk ou Freeconference.<\/p>\n<p>Alors que Beavertail et InvisibleFerret sont livr\u00e9s avec des capacit\u00e9s de vol d&#8217;information, le premier sert de t\u00e9l\u00e9chargeur pour le second. Beavertail est \u00e9galement disponible en deux saveurs: une variante JavaScript qui peut \u00eatre plac\u00e9e dans les projets trojanis\u00e9s et une version native construite \u00e0 l&#8217;aide de la plate-forme QT d\u00e9guis\u00e9e en logiciel de conf\u00e9rence.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740061876_98_Les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740061876_98_Les-pirates-nord-coreens-ciblent-les-developpeurs-independants-dans-lescroquerie-pour.png\" alt=\"\" border=\"0\" data-original-height=\"1164\" data-original-width=\"1617\"\/><\/a><\/div>\n<p>InvisibleFerret est un logiciel malveillant Python modulaire qui r\u00e9cup\u00e8re et ex\u00e9cute trois composants suppl\u00e9mentaires &#8211;<\/p>\n<ul>\n<li><strong>payer<\/strong>qui recueille des informations et agit comme une porte d\u00e9rob\u00e9e capable d&#8217;accepter les commandes distantes d&#8217;un serveur contr\u00f4l\u00e9 par l&#8217;attaquant pour enregistrer des touches, capturer le contenu du presse-papiers, ex\u00e9cuter des commandes de shell, des fichiers et des donn\u00e9es exfiltrates \u00e0 partir de lecteurs mont\u00e9s, ainsi que d&#8217;installer le module AnyDesk et un module de navigateur. , et recueillir des informations \u00e0 partir des extensions du navigateur et des gestionnaires de mots de passe<\/li>\n<li><strong>arc<\/strong>qui est responsable du vol de donn\u00e9es de connexion, de donn\u00e9es sur le automatique et des informations de paiement stock\u00e9es dans des navigateurs \u00e0 base de chrome comme Chrome, Brave, Opera, Yandex et Edge<\/li>\n<li><strong>ADC<\/strong>qui fonctionne comme un m\u00e9canisme de persistance en installant le logiciel de bureau \u00e0 distance AnyDesk<\/li>\n<\/ul>\n<p>ESET a d\u00e9clar\u00e9 que les principales cibles de la campagne sont les d\u00e9veloppeurs de logiciels travaillant dans des projets de crypto-monnaie et de financement d\u00e9centralis\u00e9 \u00e0 travers le monde, avec des concentrations importantes rapport\u00e9es en Finlande, en Inde, en Italie, au Pakistan, en Espagne, en Afrique du Sud, en Russie, en Ukraine et aux \u00c9tats-Unis<\/p>\n<p>\u00abLes attaquants ne distinguent pas sur la base de l&#8217;emplacement g\u00e9ographique et visent \u00e0 compromettre autant de victimes que possible pour augmenter la probabilit\u00e9 d&#8217;extraire avec succ\u00e8s des fonds et des informations.<\/p>\n<p>Cela est \u00e9galement mis en \u00e9vidence dans les pratiques de codage m\u00e9diocres apparentes adopt\u00e9es par les op\u00e9rateurs, allant d&#8217;un incapacit\u00e9 \u00e0 supprimer les notes de d\u00e9veloppement aux adresses IP locales utilis\u00e9es pour le d\u00e9veloppement et les tests, indiquant que l&#8217;ensemble d&#8217;intrusion n&#8217;est pas pr\u00e9occup\u00e9 par la furtivit\u00e9.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il convient de noter que l&#8217;utilisation de leurres d&#8217;entretien d&#8217;emploi est une strat\u00e9gie classique adopt\u00e9e par divers groupes de piratage nord-cor\u00e9en, dont le plus important est une campagne de longue dur\u00e9e surnomm\u00e9e Operation Dream Job.<\/p>\n<p>En outre, il existe des preuves sugg\u00e9rant que les acteurs de la menace sont \u00e9galement impliqu\u00e9s dans le r\u00e9gime frauduleux des travailleurs informatiques, dans lequel les ressortissants nord-cor\u00e9ens postulent pour des emplois \u00e0 l&#8217;\u00e9tranger sous de fausses identit\u00e9s afin de r\u00e9aliser des salaires r\u00e9guliers afin de financer les priorit\u00e9s du r\u00e9gime.<\/p>\n<p>&#8220;Le cluster DevecedEvelovegment est un ajout \u00e0 une collection d\u00e9j\u00e0 importante de r\u00e9gimes d&#8217;argent employ\u00e9s par les acteurs align\u00e9s par la Cor\u00e9e du Nord et se conforme \u00e0 une tendance continue \u00e0 passer de l&#8217;attention de l&#8217;argent traditionnel aux crypto-monnaies&#8221;, a d\u00e9clar\u00e9 ESET.<\/p>\n<p>&#8220;Au cours de nos recherches, nous l&#8217;avons observ\u00e9 passant d&#8217;outils et de techniques primitifs \u00e0 des logiciels malveillants plus avanc\u00e9s et plus capables, ainsi que des techniques plus polies pour attirer dans VIC-MS et d\u00e9ployer les logiciels malveillants.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/north-korean-hackers-target-freelance.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les d\u00e9veloppeurs de logiciels ind\u00e9pendants sont la cible d&#8217;une campagne en cours qui tire parti des leurres sur le th\u00e8me des entretiens d&#8217;embauche pour offrir des familles de logiciels malveillants multiplateformes appel\u00e9s Beavertail et InvisibleFerret. L&#8217;activit\u00e9, li\u00e9e \u00e0 la Cor\u00e9e du Nord, a \u00e9t\u00e9 nomm\u00e9e DeceptedEvelow, qui chevauche des clusters suivis sous l&#8217;interview contagieuse (aka [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1547841,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,5863,4168,79002,274264,4161,274263,6124,429,9886,133,11530,8114,65,80491,4589,4590,274267,4160,24722,4394,185,238617,246491,4172,79016,4166,4164],"class_list":["post-1547840","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-ciblent","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-deployer","tag-des","tag-developpeurs","tag-independants","tag-les","tag-lescroquerie","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nordcoreens","tag-pirates","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1547840","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1547840"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1547840\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1547841"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1547840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1547840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1547840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}