La Corée du Nord dissimule désormais ses malwares dans la blockchain Ethereum. La technique dite « d'EtherHiding », jusqu'ici réservée aux cybercriminels, est en train de devenir une arme d'État.
Les hackers nord-coréens viennent de franchir une ligne rouge. Depuis le mois de février, le groupe étatique UNC5342 utilise la blockchain, cette technologie décentralisée des cryptomonnaies, pour y cacher ses logiciels malveillants. C'est la première fois qu'un État adopte cette technique d'EtherHiding, jusqu'alors réservée aux cybercriminels purs et durs. Les chercheurs en cybersécurité de Google révèle aujourd'hui comment Pyongyang transforme Ethereum en arsenal numérique quasi-impossible à démanteler.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
La blockchain Ethereum transformée en serveur de malwares indestructible
Imaginez un serveur qu'aucune police au monde ne peut saisir. C'est exactement ce que permet l'EtherHiding. Au lieu d'héberger leurs virus sur des ordinateurs classiques que les autorités peuvent débrancher, les Nord-Coréens les cachent dans des « smart contracts », des mini-programmes automatiques gravés dans la blockchain d'Ethereum ou de BNB Smart Chain. Ces blockchains fonctionnent comme des livres comptables publics répartis sur des milliers d'ordinateurs à travers le monde, impossible à censurer ou effacer. Le malware devient ainsi accessible 24h/24, protégé par la décentralisation même du système.
L'attaque démarre par un piratage discret de sites web légitimes, souvent des WordPress mal sécurisés. Les hackers y injectent un bout de code JavaScript invisible qui attend patiemment. Lorsque vous visitez le site infecté, ce script contacte la blockchain pour télécharger la vraie charge malveillante stockée dans un smart contract. L'astuce diabolique consiste à utiliser une fonction de lecture simple, qui ne crée aucune transaction visible, donc aucune trace repérable. Le virus s'exécute directement dans votre navigateur et peut installer des portes dérobées, autrement dit des accès permanents et cachés à votre machine.
Cette méthode offre quatre atouts redoutables aux attaquants. Il est impossible de couper l'accès, puisque la blockchain n'a pas de centre de contrôle. Et il est difficile de remonter aux coupables, à cause du pseudo-anonymat des transactions. Le code malveillant reste gravé définitivement dans la chaîne de blocs. Puis, cerise sur le gâteau, les pirates peuvent modifier leurs virus en temps réel d'une simple transaction, ce qui permet d'actualiser instantanément tous les sites compromis dans le monde entier, sans lever le petit doigt.
Une campagne d'ingénierie sociale ciblant les développeurs crypto
Les Nord-Coréens ne misent pas que sur la prouesse technique, ils excellent aussi dans la manipulation psychologique. Leur opération « Contagious Interview » (nom donné par les chercheurs de Palo Alto Networks) exploite le recrutement professionnel comme cheval de Troie. Concrètement, les espions créent de faux profils LinkedIn ultra-crédibles de recruteurs travaillant pour des entreprises crypto fictives comme BlockNovas ou SoftGlideLLC, avec sites web professionnels et présence sur les réseaux sociaux. Ils démarchent ensuite des développeurs informatiques, surtout ceux qui bossent dans les cryptomonnaies, avec des offres d'emploi alléchantes, avant de basculer discrètement vers Telegram ou Discord.
Le piège se referme lors du test technique, passage obligé de tout entretien d'embauche sérieux. Le candidat reçoit un exercice de code à résoudre ou un projet GitHub à analyser. Sauf que les fichiers téléchargés depuis ces plateformes de développeurs contiennent le malware JADESNOW, déguisé en code légitime. Une fois lancé, il va chercher les étapes suivantes directement sur la blockchain.
Notons qu'une autre variante a été observée par les experts. Durant un entretien vidéo, un faux message d'erreur apparaît invitant à télécharger un correctif urgent pour continuer. Ce « patch » n'est évidemment, vous l'aurez compris, qu'un virus maquillé en solution technique.
Cette arnaque sophistiquée vise deux objectifs stratégiques, forcément alignés sur les besoins de Pyongyang. Premier but : voler massivement des cryptomonnaies pour générer des revenus en contournant les sanctions internationales. Le virus INVISIBLEFERRET, déployé dans les phases avancées, cible les portefeuilles numériques MetaMask et Phantom ainsi que les coffres-forts de mots de passe comme 1Password. Second objectif : infiltrer dans le temps les entreprises tech en compromettant leurs développeurs, pour créer des opportunités d'espionnage industriel et préparer de futures attaques dans la chaîne d'approvisionnement des logiciels eux-mêmes.
Les failles dans l'armure blockchain et comment se défendre
Malgré son apparence d'invincibilité, l'EtherHiding présente des faiblesses exploitables. Ironie du sort, les Nord-Coréens ne communiquent pas directement avec la blockchain. Ils passent par des services intermédiaires comme Binplorer ou Ethplorer, qui sont des sites qui facilitent la consultation des données blockchain. Ces plateformes centralisées deviennent alors des points de contrôle précieux où bloquer le trafic malveillant. Google rapporte que certains fournisseurs responsables ont rapidement fermé l'accès après alerte, même si d'autres traînent dangereusement des pieds face à cette menace étatique.
Les entreprises disposent heureusement de parades concrètes et efficaces pour contrer ces attaques. Chrome Enterprise permet par exemple de bloquer automatiquement le téléchargement de fichiers exécutables dangereux comme les .exe ou .msi, ce qui coupe court à la dernière étape critique de l'infection. Côté mises à jour, automatiser complètement le processus à l'aide des outils de gestion centralisée neutralise le principal levier de manipulation. Si les employés savent qu'ils ne verront jamais une vraie demande de mise à jour manuelle, toute tentative similaire devient immédiatement suspecte et peut être signalée.
Mais la technologie seule ne suffit jamais face à la manipulation humaine. Les développeurs et professionnels de la tech doivent apprendre à reconnaître les signes d'une fausse offre d'emploi, comme les tests techniques qui exigent l'exécution de code non vérifié, le déplacement rapide vers des messageries alternatives, ou les recruteurs impossibles à vérifier sur les sites officiels des entreprises. Les explorateurs de blockchain comme BscScan commencent certes à signaler les smart contracts malveillants identifiés, mais cette alerte n'empêche techniquement personne de les utiliser. Face à l'EtherHiding, la défense reste une course permanente.
