PylangGhost, la menace spécialisée crypto de la Corée du Nord

Un rapport de la firme de cybersécurité CISCO Talos fait état d’une campagne malicieuse qui vise les professionnels de l’industrie crypto. Cette nouvelle campagne serait pilotée par des hackeurs nord-coréens.

D’après les enquêteurs, la nouvelle menace serait une version du cheval de Troie GolangGhost, codée sous Python. Une menace qui inquiète compte tenu de la nature insidieuse de la campagne cybercriminelle.

De fausses annonces de recrutement pour ferrer les professionnels crypto

Dénommé PylangGhost, le cheval de Troie a été conçu pour subtiliser les identifiants de plus de 80 extensions de navigateurs internet. Notamment, les extensions de gestionnaires de mots de passe comme 1password ou NordPass, mais aussi des wallets de cryptomonnaies comme Metamask, MultiverseX, TronLink, Bitski, Initia, etc.

Le rapport de CISCO Talos a permis de mieux comprendre le fonctionnement de cette campagne qui cible spécifiquement les professionnels de la sphère crypto et blockchain. Afin de déployer ce maliciel, les hackeurs ont posté des offres de recrutement factices sur de nombreux sites.

🚨 Security TI Alert 🚨

According to community partner @1nf0s3cpt, an active phishing campaign is targeting Web3 users with fake job offers (e.g. $120/hour) to trick them into executing a malicious script that steals wallet files.

🔍 Key IOCs:
🔸GitLab repo:… pic.twitter.com/73xf6LbVS1

— SlowMist (@SlowMist_Team) June 20, 2025

D’abord, les victimes réalisent un premier test au cours duquel des questions techniques leur sont posées. Cette première étape permet déjà d’obtenir certaines informations personnelles des victimes qui ont une expérience avérée du monde professionnel de l’industrie crypto.

Après avoir répondu au questionnaire, les victimes doivent enregistrer une vidéo pour le recruteur. C’est à cette étape que des instructions censées servir à installer le pilote vidéo sont données. En réalité, les instructions permettent de déployer le maliciel PylangGhost sur les ordinateurs Windows et MacOs des victimes.

Pourquoi est-ce que la Corée du Nord s’intéresse aux professionnels de l’industrie ?

Depuis 2022 tout au moins, les experts en cybersécurité ont notifié l’industrie sur les attaques répétées de la Corée du Nord. Si au départ, les groupes de hackers cherchaient surtout à subtiliser les fonds des plateformes d’échange, leur stratégie s’est affinée.

En 2022, des collectifs de pirates rattachés à la république nord-coréenne auraient réussi à voler plus de 3,8 milliards de dollars, d’après Chainalisys. Une situation que les États-Unis, la Corée du Sud et le Japon avaient déploré dans une déclaration conjointe.

Depuis 2023, par contre, les campagnes malicieuses sont axées sur la compromission des professionnels plutôt que les plateformes d’échange. En effet, la Corée du Nord a déjà lancé des campagnes similaires sur des sites d’emploi et des plateformes comme UpWork, GitHhub ou CryptoJobsList.

Par exemple, en fin 2024, les pirates nord-coréens se seraient fait passer pour des anciens prestataires de Radiant Capital pour subtiliser 50 millions de dollars.

Yesterday's sophisticated 50 million Radiant Capital hack happened after attacker's trojaned the computers of multiple team members.

Team members saw and verified good multisig data on screens, but their hardware wallets signed evil data. 1/7 pic.twitter.com/zE7Hk0zN22

— Daniel Von Fange (@danielvf) October 17, 2024

Une campagne dont on évalue difficilement la portée

Les campagnes de ce type sont particulièrement dangereuses parce que leurs effets ne se manifestent pas immédiatement. Le cheval de Troie PylangGhost autorise l’accès à distance des périphériques compromis sur la durée.

Autrement dit, les hackeurs peuvent exploiter des appareils infectés à tout moment sans signe précurseur. Grâce à leurs centres de commandement, les pirates pourraient alimenter des réseaux mondiaux d’appareils infectés. Ils pourraient alors attendre le moment propice pour obtenir des informations sensibles ou exécuter des commandes.

Sources : decrypt.co