Incidents associés
Les acteurs malveillants nord-coréens à l'origine de la campagne Contagious Interview ont été observés utilisant des versions mises à jour d'un logiciel malveillant multiplateforme appelé OtterCookie, capable de voler des identifiants de navigateurs web et d'autres fichiers.
NTT Security Holdings, qui a détaillé ces nouvelles découvertes, a déclaré que les attaquants ont mis à jour le logiciel malveillant de manière active et continue, introduisant les versions v3 et v4 respectivement en février et avril 2025.
L'entreprise japonaise de cybersécurité suit le cluster sous le nom de WaterPlum, également connu sous les noms de CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, PurpleBravo et Tenacious Pungsan.
OtterCookie a été documenté pour la première fois par NTT l'année dernière, après avoir été observé lors d'attaques depuis septembre 2024. Distribué via une charge utile JavaScript via un package npm malveillant, un dépôt GitHub ou Bitbucket infecté par un cheval de Troie, ou une application de visioconférence factice, il est conçu pour contacter un serveur externe afin d'exécuter des commandes sur des hôtes compromis.
OtterCookie v3 intègre un nouveau module de téléchargement permettant d'envoyer des fichiers correspondant à un ensemble prédéfini d'extensions au serveur externe. Ces fichiers comprennent des variables d'environnement, des images, des documents, des feuilles de calcul, des fichiers texte et des fichiers contenant des phrases mnémotechniques et de récupération associées aux portefeuilles de cryptomonnaies.
Il est important de noter que ce module était auparavant exécuté dans OtterCookie v2 sous la forme d'une commande shell reçue du serveur.
La quatrième itération du malware complète son prédécesseur en ajoutant deux modules supplémentaires permettant de voler les identifiants de Google Chrome et d'extraire les données de l'extension MetaMask pour Google Chrome, du navigateur Brave et du trousseau iCloud.
OtterCookie v4 offre également la possibilité de détecter son exécution dans des environnements de machines virtuelles (VM) tels que Broadcom VMware, Oracle VirtualBox, Microsoft et QEMU.
[
](http s://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitPb3lVlA4H6uESOvthXKg_gbwJVJs0b-gaKBjLHLH0XKaDtrCMHTJKWh-luBas9Ma2a7QjEj9DjzUodKQctBPL6LIS4-ms96WyNK_4Zug9p2AyaILKO9atbsvl5DLLBv-hJtxX8wiDQXHgNKAyZZthITDPnLeadfAW0j3aC6GOxDO27NKomHGlQnZQKEv/s728-rw-e365/checks.png)
Il a été constaté que le premier module de vol de données, responsable de la collecte des identifiants Google Chrome, le fait après les avoir déchiffrés, tandis que le second module collecte les données de connexion chiffrées de navigateurs comme Chrome et Brave.
« Cette différence de traitement des données ou de style de codage implique que ces modules ont été développés par des développeurs différents », ont déclaré les chercheurs Masaya Motoda et Rintaro Koike.
Cette révélation intervient alors que plusieurs charges utiles malveillantes liées à la campagne Contagious Interview ont été découvertes ces derniers mois, indiquant que les acteurs malveillants affinent leur mode opératoire.
Il s'agit notamment d'un voleur d'informations basé sur Go, diffusé sous le couvert d'une mise à jour de pilote Realtek (« WebCam.zip ») qui, une fois ouvert, exécute un script shell chargé de télécharger le voleur et de lancer une application macOS trompeuse (« DriverMinUpdate.app ») conçue pour récupérer le mot de passe système macOS de la victime.
On pense que le malware a été diffusé dans le cadre d'une version mise à jour de l'activité nommée ClickFake Interview par Sekoia le mois dernier, suite à l'utilisation de leurres de type ClickFix pour corriger des problèmes audio et vidéo inexistants lors d'une évaluation en ligne pour un entretien d'embauche.
« Le rôle principal du voleur est d'établir un canal de commande et de contrôle persistant, de profiler le système infecté et d'exfiltrer des données sensibles », a déclaré Moonlock, division cybersécurité de MacPaw. « Il y parvient en combinant reconnaissance du système, vol d'identifiants et exécution de commandes à distance. » Il a été estimé que l'application DriverMinUpdate fait partie d'un plus grand ensemble applications malveillantes similaires [analysis-of-variants-in-lazarus-s-contagious-interview-campaign] découvertes par dmpdump, SentinelOne, ENKI et Kandji, telles que ChromeUpdateAlert, ChromeUpdate, CameraAccess et DriverEasy.
Un La deuxième nouvelle famille de logiciels malveillants liée à la campagne est Tsunami-Framework, qui est déployée comme charge utile de suivi d'une porte dérobée Python connue appelée InvisibleFerret. Ce logiciel malveillant modulaire basé sur .NET est capable de voler un large éventail de données à partir de navigateurs web et de portefeuilles de cryptomonnaies.
Il intègre également des fonctionnalités permettant d'enregistrer les frappes au clavier, de collecter des fichiers et même un composant de botnet qui semble être en phase de développement, a déclaré la société de sécurité allemande HiSolutions [https://research.hisolutions.com/2025/04/rolling-in-the-deepweb-lazarus-tsunami/] dans un rapport publié à la fin du mois dernier.
Selon ESET, Contagious Interview serait un nouveau groupe d'activités appartenant au Groupe Lazarus, un groupe de pirates informatiques notoirement nord-coréen, connu pour ses attaques à motivation financière et d'espionnage visant à promouvoir les objectifs stratégiques du pays et à contourner les sanctions internationales.
Plus tôt cette année, ce collectif hostile a été accusé d'avoir commis le braquage record d'un milliard de dollars de la plateforme de cryptomonnaie Bybit.
La menace des informaticiens nord-coréens perdure#
Ces résultats interviennent alors que la société de cybersécurité Sophos a révélé que les acteurs malveillants à l'origine du programme frauduleux d'informaticiens nord-coréen – également connus sous les noms de Famous Chollima, Nickel Tapestry et Wagemole – ciblent de plus en plus d'organisations en Europe et en Asie, ainsi que d'autres secteurs que celui des technologies, afin de sécuriser des emplois et de réinjecter les bénéfices dans Pyongyang.
Pour mener à bien ce stratagème, les acteurs malveillants sont connus pour inonder les sites d'emploi tels que Xing, Upwork, Toptal et 9am de faux profils, accompagnés de profils de réseaux sociaux sur des plateformes comme LinkedIn, utilisant des versions d'images d'archives générées par l'IA.
« Pendant la phase de pré-embauche, les acteurs malveillants manipulent souvent numériquement des photos pour leurs CV et profils LinkedIn falsifiés, ainsi que pour accompagner leurs antécédents professionnels ou leurs déclarations de projets de groupe », a déclaré l'unité de lutte contre les menaces (CTU) Secureworks de l'entreprise (https://news.sophos.com/en-us/2025/05/08/nickel-tapestry-expands-fraudulent-worker-operations/).
« Ils utilisent couramment des photos d'archives superposées à de vraies images d'eux-mêmes. Les acteurs malveillants ont également accru leur utilisation de l'IA générative, notamment des outils de rédaction, de retouche d'images et de création de CV. »
Français Les travailleurs frauduleux, une fois embauchés, ont également été surpris en train d'utiliser des utilitaires de souris jiggler (https://en.wikipedia.org/wiki/Mouse_jiggler), des logiciels VPN comme Astrill VPN et KVM sur IP pour l'accès à distance, allant même jusqu'à recourir dans certains cas à des appels Zoom de huit heures pour le partage d'écran.
L'entreprise de cybersécurité ReliaQuest a déclaré avoir constaté une « tendance récurrente » dans ses dispositifs d'authentification multifacteur (MFA) où des marques chinoises comme Oppo et Vivo étaient fréquemment identifiées et avoir découvert plusieurs initiés nord-coréens s'authentifiant depuis la même adresse IP fixe.
« Des agents parrainés par l'État nord-coréen infiltrent des entreprises occidentales en se faisant passer pour des informaticiens qualifiés, notamment dans des rôles de développement web full-stack », a-t-elle souligné dans un nouveau rapport mettant en lumière le savoir-faire des acteurs de la menace.
« À l'aide de faux profils générés par l'IA, d'identités volées et d'outils comme le VPN Astrill et les dispositifs IP-KVM, ces agents financent les programmes d'armement nord-coréens tout en restant discrets. Leurs tactiques exploitent des vulnérabilités telles que les politiques BYOD, soulignant la sophistication croissante des cyberopérations nord-coréennes et le besoin urgent d'une vérification rigoureuse des candidats et d'une surveillance des connexions basée sur la géolocalisation. »
La semaine dernière, la plateforme d'échange de cryptomonnaies Kraken a révélé comment un entretien d'embauche de routine pour un poste d'ingénieur s'est transformé en opération de collecte de renseignements après avoir repéré un pirate informatique nord-coréen tentant d'infiltrer l'entreprise sous le nom de Steven Smith.
« Le candidat utilisait des ordinateurs Mac colocalisés à distance, mais interagissait avec d'autres composants via un VPN, une configuration couramment déployée pour masquer sa localisation et son activité réseau », a déclaré l'entreprise (https://blog.kraken.com/news/how-we-identified-a-north-korean-hacker). « Son CV était lié à un profil GitHub contenant une adresse e-mail exposée lors d'une précédente violation de données. »
« La pièce d'identité principale du candidat semblait avoir été modifiée, probablement à partir d'informations volées lors d'une affaire d'usurpation d'identité deux ans auparavant. » Mais au lieu de rejeter d'emblée la candidature du candidat, Kraken a déclaré que ses équipes de sécurité et de recrutement avaient « stratégiquement » avancé les candidats dans le processus d'entretien afin de les piéger en leur demandant de confirmer leur localisation, de présenter une pièce d'identité officielle et de recommander des restaurants dans la ville où ils prétendaient se trouver.
« Déstabilisés et pris au dépourvu, ils ont eu du mal à passer les tests de vérification de base et n'ont pas pu répondre de manière convaincante aux questions en temps réel sur leur ville de résidence ou leur pays de citoyenneté », a déclaré Kraken. « À la fin de l'entretien, la vérité était claire : il ne s'agissait pas d'un candidat légitime, mais d'un imposteur tentant d'infiltrer nos systèmes. » Dans une autre affaire documentée par le ministère américain de la Justice (DoJ) le mois dernier, un homme de 40 ans du Maryland, Minh Phuong Ngoc Vong, a plaidé coupable de fraude après avoir obtenu un emploi auprès d'un entrepreneur du gouvernement, puis sous-traité le travail à un ressortissant nord-coréen résidant à Shenyang, en Chine, soulignant ainsi la gravité de cette activité illicite de collecte de fonds.
La capacité de la Corée du Nord à intégrer discrètement des milliers de ses employés dans de grandes entreprises, souvent avec l'aide de facilitateurs qui gèrent ce qu'on appelle une ferme d'ordinateurs portables, a suscité des avertissements répétés de la part des gouvernements japonais, sud-coréen, britannique et américain.
Sarah Kern, responsable de la CTU Corée du Nord et des menaces émergentes chez Sophos, a déclaré à Hacker News que des facilitateurs avaient été recrutés via LinkedIn ou des plateformes d'emploi indépendantes.
« Souvent, les facilitateurs recrutés possédaient des comptes sur ces sites pour des offres d'emploi légitimes avant de devenir complices du stratagème », a expliqué Kern. « Les acteurs malveillants ont demandé à divers facilitateurs d'effectuer un large éventail de tâches, comme organiser des entretiens d'embauche en leur nom, réceptionner des livraisons d'ordinateurs portables d'entreprise, falsifier des documents officiels et acheminer des chèques de paie. »
Il a été constaté que ces employés passaient jusqu'à 14 mois au sein d'une organisation, les auteurs de menaces ayant également recours au vol de données et à des menaces d'extorsion après leur licenciement.
« Cependant, aucune intention d'extorsion n'a été manifestée au cours des premières années d'activité de NICKEL TAPESTRY », a déclaré Kern. « Le désespoir financier, le niveau d'accès aux données sensibles et la valeur/prospérité d'une fausse identité de longue date peuvent influencer les motivations de l'auteur de la menace en tant qu'employé frauduleux. »
« Les organisations [devraient] mettre en place des procédures renforcées de vérification d'identité dans le cadre de leurs entretiens », a déclaré Sophos. « Le personnel des ressources humaines et les recruteurs devraient être régulièrement informés des tactiques utilisées dans ces campagnes afin de les aider à identifier les potentiels employés informatiques nord-coréens frauduleux. »
De plus, les organisations doivent surveiller les menaces internes traditionnelles, l'utilisation suspecte d'outils légitimes et les alertes de voyage impossible afin de détecter les activités souvent associées à des employés frauduleux.
(Cet article a été mis à jour après sa publication le 14 mai 2025, afin d'inclure des informations supplémentaires partagées par Sophos.)