Les pirates informatiques attaquent les candidats via une campagne active de fausses offres d'emploi sur LinkedIn : dans le cadre du processus de candidature, les attaquants reçoivent via un lien un code malveillant pour une porte dérobée, un voleur d'informations, un enregistreur de frappe et un cryptomineur. Bitdefender Labs voit des liens avec le groupe nord-coréen Lazarus (APT 38).
LinkedIn n’est pas seulement une plateforme d’échange d’idées et de recherche d’experts. De plus en plus de cybercriminels utilisent la crédibilité du média à leurs propres fins. Les opérateurs ayant un passé gouvernemental lancent également des campagnes de phishing ou diffusent de fausses offres d’emploi pour diffuser du code malveillant.
Faux : des offres lucratives pour les développeurs
Dans la campagne actuelle, les pirates informatiques font une offre lucrative aux développeurs qui sont invités à participer à un projet visant à créer une plateforme d'échange décentralisée pour les crypto-monnaies. D'autres variantes de l'offre, à bien des égards floue, concernent des projets dans les domaines du voyage ou de la finance. Lors du prétendu processus de candidature, les attaquants demandent un CV ou un lien vers un dépôt Github personnel afin de collecter les données personnelles de la victime et en même temps de rendre le processus de candidature crédible.
Les hackers envoient ensuite un référentiel avec le « Minimum Viable Product » (MVP), c'est-à-dire la première version du produit à évaluer, et demandent un premier retour d'expérience.
Test d'une version de démonstration – avec un malware caché
Lorsqu'on leur demande leur avis, les victimes doivent exécuter la prétendue version de démonstration. En fait, ils reçoivent ensuite un infostealer qui recherche des extensions de navigateur liées à divers portefeuilles cryptographiques. En conséquence, le malware JavaScript collecte des fichiers et des données de connexion cryptographiques pertinentes. Il exécute également un script Python qui permet de nombreuses autres actions malveillantes. Cela permet aux pirates, entre autres, d'enregistrer les frappes au clavier, d'établir une connexion persistante au réseau de la victime et de transmettre d'autres commandes, ainsi que d'exfiltrer des fichiers et des informations pour identifier le système attaqué. Les attaquants utilisent de nombreuses options d’extraction différentes telles que HTTP, Tor ou des adresses IP sous le contrôle des attaquants.
Origine présumée nord-coréenne
L'analyse du logiciel malveillant et l'approche tactique des attaquants suggèrent qu'il s'agit de cybercriminels issus de l'État nord-coréen. Les auteurs de l’attaque ont des liens avec des acteurs tels que le groupe Lazarus (APT 38).
Bitdefender Labs met en garde les développeurs contre de telles offres et donne les conseils suivants :
- En particulier dans le cas d'offres d'emploi peu claires, les personnes intéressées ne doivent en aucun cas réagir au sein de la plateforme.
- Les référentiels avec des noms générés aléatoirement ou avec une mauvaise documentation sont suspects.
- Des fautes d’orthographe fréquentes devraient éveiller les soupçons.
- Si l’autre partie refuse de fournir d’autres moyens de contact – comme un courrier électronique ou le numéro de téléphone d’une entreprise – la prudence est de mise.
- Le code non vérifié ne doit être testé pour sa fiabilité opérationnelle que sur des machines virtuelles, des plateformes en ligne et dans un sandbox sur un ordinateur privé - jamais sur un ordinateur d'entreprise.
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de