Une découverte récente révèle qu’un groupe frauduleux nord-coréen cible les développeurs via un système sophistiqué de faux emplois qui cache des logiciels malveillants dans les tâches de codage. Les experts ont découvert plus de 200 logiciels malveillants liés à l’opération, connue sous le nom de Graphalgo. Ce qui est intéressant, c’est que les attaquants ciblent spécifiquement les professionnels de la technologie basés sur JavaScript et Python, en particulier ceux ayant une expérience en cryptomonnaie.
Le groupe frauduleux nord-coréen Graphalgo utilise de faux programmes d’emploi pour diffuser des logiciels malveillants.
Laboratoires d’inversion rapporte que l’opération est active depuis mai 2025. Les attaquants se feraient passer pour des sociétés de trading de blockchain et de crypto et publieraient de fausses offres d’emploi sur des plateformes telles que LinkedIn, Facebook et Reddit. Afin de postuler à ce que l’on appelle l’emploi, les candidats sont invités à effectuer une mission technique, impliquant généralement le débogage ou l’amélioration d’un exemple de projet.
L’affectation semble légitime, mais elle contient une dépendance malveillante cachée hébergée sur des référentiels fiables tels que npm et PyPI. Une fois qu’un utilisateur exécute le code, la dépendance installe un cheval de Troie d’accès à distance sur le système. Le rapport affirme que pas moins de 192 packages nuisibles sont liés à Graphalgo. Dans un cas, le package bigmathutils était propre jusqu’à la version 1.1.0, date à laquelle une charge utile malveillante a été ajoutée, et le package a ensuite été supprimé pour éviter toute détection.
Les attaquants prennent le contrôle direct du système sans que l’utilisateur ne s’en rende compte
Le malware installé donne aux attaquants un contrôle total sur les machines infectées. Le cheval de Troie d’accès à distance peut répertorier les processus en cours d’exécution, exécuter des commandes arbitraires, exfiltrer des fichiers et déployer des charges utiles supplémentaires. Il vérifie également la présence de l’extension de navigateur de crypto-monnaie MetaMask, indiquant des motivations financières. Le malware utilise une méthode protégée par jeton pour communiquer avec le serveur. Cela limite son contrôle extérieur.
Les experts ont également révélé que l’opération Graphalgo est très probablement liée au célèbre groupe Lazarous. Ils sont connus pour leurs escroqueries liées aux offres d’emploi. Quoi qu’il en soit, il est une fois de plus conseillé aux utilisateurs de toujours vérifier les packages avant de les installer sur leurs appareils.
