L'ingénierie sociale de six mois qui a laissé Drift sans 285 millions

Dans l'enquête sur la cyberattaque qui a laissé Drift sans 285 millions de dollars le 1er avril 2026, qui semblait initialement un coup rapide a été révélé comme le résultat d'une opération de génie social prévue pour des mois et dirigée par des acteurs liés à la République populaire démocratique de Corée (RPDC). Drift décrit l'incident comme suit : "une attaque de préparation de six mois", et note avec une confiance moyenne un ensemble d'acteurs connus dans les cercles de cybersécurité tels que UNC4736 - également cités sous les noms AppleJeus, Citrine Sleet, Golden Cholima et Gleaming Poissons - , un groupe avec une longue histoire de vol de cryptomonéda depuis au moins 2018. L'appréciation de Drift, qui travaille avec les services de police et les experts médico-légaux pour reconstruire la chaîne des événements, se trouve dans ses communications et dans ses publications techniques publiées par le cabinet : https: / / drift.trade / blog /.

Ce qui rend cette attaque particulièrement inquiétante n'était pas une simple vulnérabilité technique, mais la minutie avec laquelle les attaquants ont bâti la confiance au sein de la communauté. Selon les explications publiques de Drift, depuis l'automne 2025, des individus qui se sont présentés comme une entreprise commerciale quantitative ont commencé à établir des relations face à face avec des contributeurs clés de Drift lors de conférences internationales sur l'écosystème critique. Il s'agissait de réunions successives, avec des profils professionnels soigneusement montés, qui ont conduit à des conversations techniques continues et à la création d'un groupe Telegram où les stratégies, l'intégration et les outils ont été discutés pendant des mois. Cette pratique, qui vise, gagne en confiance et valide professionnellement une fausse identité, s'inscrit dans des tactiques de génie social sophistiquées décrites dans d'autres incidents récents.

L'opération comprenait des mesures délibérées pour paraître légitime : dépôts de plus de 1 million de dollars, décharge d'une faille de l'écosystème en Drift avec documentation stratégique, échange de liens avec des projets et, selon Drift, un ensemble de questions techniques très bien informées qui ont simulé le comportement typique d'un partenaire commercial. Tout cela a créé une présence opérationnelle fonctionnelle qui, jusqu'à la phase finale, semblait authentique. Peu après l'assaut, les canaux de messagerie et certains logiciels utilisés par les attaquants ont été éliminés, ce qui complique la traçabilité.

La pièce technique clé derrière l'intrusion pourrait être double: d'une part, un collaborateur aurait pu exécuter du code après avoir cloné un dépôt partagé par la société présumée; d'autre part, un autre contributeur a été convaincu d'installer par Apple TestFlight une version d'un portefeuille qui devait être testé en bêta. Le vecteur de dépôt aurait abusé d'un mécanisme légitime de code Microsoft Visual Studio : l'exécution automatique des tâches définies dans les tâches. fichier json en utilisant l'option "RunOn: folderOpen", qui permet de lancer une action lorsque l'espace de travail est ouvert dans l'éditeur. C'est une méthode d'exploitation qui a été détectée dans les campagnes attribuées aux acteurs nord-coréens depuis décembre 2025 et qui a provoqué des changements dans le code VS; Microsoft documente les mises à jour et les contrôles de sécurité dans ses notes de version: https: / / code.visualstudio.com / mises à jour.

Les liens entre cette opération et d'autres campagnes de phoques nord-coréens ne sont pas seulement circonstanciaux. Drift indique des tests en chaîne qui relient les flux de fonds utilisés pour tester et monter cette opération avec les acteurs responsables de l'agression contre Radiant Capital, qui ont subi un vol de 53 millions de dollars en octobre 2024. En outre, les techniques et les identités fabriquées font apparaître un chevauchement avec les activités précédemment attribuées à la RPDC. Ce type d'analyse du renseignement technique et opérationnel a également fait l'objet de publications dans l'industrie - par exemple, les rapports de CrowdStrike sur des variantes telles que Golden Chollima, qui décrivent une branche du programme nord-coréen visant spécifiquement le vol de crypto-monnaie par des attaques contre les petites et moyennes fintechs en Occident et en Asie - : https: / / www.crowdstrike.com / blog /.

La motivation économique est claire et, selon les experts, persistante. Selon des rapports récents, même avec des avancées diplomatiques et économiques avec des alliés comme la Russie, la RPDC doit générer des recettes hors sanction pour soutenir des programmes militaires ambitieux, allant de nouveaux navires à des projets spatiaux. Dans ce contexte, l'exploitation systématique du secteur critique est devenue une source régulière de financement. Des organisations comme l'analyse en chaîne ont documenté à maintes reprises comment cryptomonéda facilite le recyclage et l'évasion des sanctions, et comment les paiements des cyberopérations transitent vers les réseaux qui favorisent Pionyang : https: / / blog.chainalysis.com /.

Mais l'architecture opérationnelle nord-coréenne ne se limite pas aux pirates isolés : DomainTools recherche indique une stratégie de développement de logiciels malveillants délibérément fragmenté et des opérations. Selon ces analyses, l'écosystème a été organisé sur des pistes de travail distinctes - l'espionnage, la production de fonds illicites et les opérations d'impact comme les ransomwares ou les essuie-glaces - avec des outils, des infrastructures et des modes d'exploitation partagés pour minimiser les risques d'exposition et intégrer l'attribution. L'analyse de DomainTools résume comment cette fragmentation complique l'échec d'une campagne à révéler le programme dans son ensemble : https: / / www.domaintools.com / blog /.

Cette fragmentation comprend également des tactiques humaines complexes et une logistique. Les techniques documentées comprennent les campagnes de « fraude des travailleurs de la TI » dans lesquelles les opérateurs nord-coréens et un réseau de facilitateurs créent de fausses identités, recrutent des développeurs à l'étranger et placent ces personnes dans des emplois éloignés dans des organisations occidentales. Les travailleurs peuvent utiliser des ordinateurs portables soumis par des facilitateurs dans des « fermes mobiles » et sont guidés pour passer des entrevues, mettre à jour les programmes d'études et assumer des rôles légitimes qu'ils exploitent pour entrer dans les portes arrière, exfilter des données ou voler des actifs numériques. Les rapports d'IBM X-Force et d'autres analystes ont décrit l'ampleur et la systématisation de ces programmes; IBM maintient les ressources et l'analyse en : https: / / www.ibm.com / sécurité / xforce.

La portée géographique des réseaux de recrutement n'est pas non plus anecdotique : des données récentes montrent des tentatives de recrutement dans des pays comme l'Iran, la Syrie, le Liban et l'Arabie saoudite, avec quelques recrutements réels et des offres émises par des employeurs américains. De plus, les animateurs contactent les candidats sur des plateformes professionnelles, les préparent à des entrevues et agissent même comme « appelants » pour surmonter les tests techniques. Des études de signatures telles que Flare ont documenté des exemples de ce processus et du lien entre la rémunération de cryptomonéda et le flux de fonds vers la RPDC.

Pour la communauté critique et pour toute organisation qui intègre le code de tiers, l'attaque contre Drift est un rappel sévère que la sécurité n'est pas seulement technique mais aussi humaine. L'ingénierie sociale avancée, la validation d'identité et le contrôle de l'intégration externe sont aussi importants que les audits de code et les examens d'infrastructure. Le fonctionnement des workflows quotidiens - cloner un dépôt, ouvrir un projet dans un éditeur, tester une application dans TestFlight - peut être la porte d'entrée d'une opération qui est cuite pendant des mois.

Les leçons laissées par cet épisode conduisent déjà à des changements : de l'attention renouvelée aux configurations d'outils de développement par défaut à la nécessité de contrôles plus stricts dans les processus d'embarquement et dans la gestion des relations avec les homologues. Ils soulignent également l'importance de la collaboration entre les projets essentiels, les entreprises de sécurité et les organismes gouvernementaux pour suivre les transactions en chaîne, démanteler les infrastructures de lavage et partager les indicateurs d'engagement. Si vous souhaitez entrer dans des mesures spécifiques et des alertes sur des techniques spécifiques, les notes de sécurité publique des entreprises telles que Microsoft et les analyses du secteur public sont nécessaires pour lire: https: / / code.visualstudio.com / mises à jour et les publications des équipes d'intervention en cas d'incident à CrowdStrike, IBM X-Force et Chainalysis fournissent un contexte supplémentaire.

Bref, l'assaut contre Drift n'est pas un événement isolé, mais un autre exemple de la façon dont un acteur d'État à forte intensité de ressources et un programme organisé peuvent combiner le génie social, la chaîne d'approvisionnement et des fonds techniques apparemment inoffensifs pour éliminer des quantités massives de valeur. Alors que la communauté apprend de cet incident et durcit les pratiques, l'histoire montre que les adversaires évoluent également; l'avantage, pour l'instant, est une meilleure sécurité humaine et technique intégrée dans tous les liens de l'écosystème.