La nouvelle arnaque de travail nord-coréenne qui utilise des identités volées et de vrais comptes LinkedIn pour s'infiltrer

Au cours des derniers mois, il est devenu évident qu'une vieille forme de fraude au travail s'est intensifiée dans la sophistication et la portée : les groupes liés à la République populaire démocratique de Corée sont passés d'une identité supplantée à une forme complète pour se présenter dans des processus de sélection avec de vrais comptes LinkedIn appartenant à des personnes qu'ils supplantent. Selon les publications de l'Alliance de sécurité dans X, les profils utilisés ont souvent vérifié et distinct les courriels d'entreprise qui, en apparence, font des demandes frauduleuses semblent tout à fait légitimes (source). Il ne s'agit pas seulement de voler un CV: les agresseurs cherchent à établir la présence et la confiance dans les entreprises, qui leur permet de se déplacer plus librement une fois qu'ils ont accès.

Ce phénomène s'inscrit dans le cadre d'une opération persistante, documentée par différents acteurs du secteur, dans laquelle des "travailleurs à distance" présumés sont engagés par des entreprises occidentales utilisant des identités volées ou fabriquées. Les chercheurs et les sociétés de sécurité ont suivi cette activité pendant des années et l'ont baptisée de différentes façons : Jasper Sleet, PurpleDelta, Wagemole, entre autres noms, mais le modèle est cohérent. L'objectif est double : extraire la valeur économique et, parallèlement, obtenir l'accès à des informations sensibles pour l'espionnage ou l'extorsion. Des entreprises spécialisées ont décrit le programme comme une source de revenu stable pour la dictature nord-coréenne, ainsi qu'un vecteur d'obtention de privilèges administratifs au sein de l'infrastructure logicielle essentielle. (analyse de KELA) et (Enquête sur la pression silencieuse).

Au niveau financier, la destination finale des salaires perçus par ces acteurs a également été étudiée. Les rapports d'analyse de Blockchain montrent comment les profits passent par les chaînes, les échanges à travers différents jetons et les ponts et échanges décentralisés pour compliquer le suivi et le lien entre la source et la destination des fonds (Chainalyse). La combinaison de l'identité volée, de l'accès des entreprises et des techniques avancées de mélange cryptoactif crée une chaîne difficile à couper pour ceux qui enquêtent ou tentent de bloquer le flux d'argent.

Parallèlement au faux recrutement, les campagnes d'ingénierie sociale ont proliféré spécifiquement conçues pour que la victime exécute un code malveillant pendant le processus de sélection. Dans la campagne dite « Contagious Interview », les agresseurs attirent des candidats de LinkedIn avec des offres d'emploi et, au cours d'entretiens apparemment normaux, appellent à des tests techniques impliquant le clonage d'un dépôt GitHub et des commandes en cours d'exécution. Dans certaines attaques, on leur a demandé d'installer des paquets npm contenant une charge malveillante, ce qui a permis aux auteurs d'exécuter des logiciels malveillants sur les machines des victimes; d'autres variantes ont utilisé des tâches de Visual Studio Code qui fonctionnent JavaScript déguisé en sources Web, enfin déployer des familles de logiciels malveillants comme BeaverTail ou InvisibleFerret pour voler des identifiants et des pièces de cryptomoneda (explication technique pour les incendies) et (Suivi sur la sécurité).

Les techniques ne se limitent pas à de simples paquets malveillants : dans certaines attaques, l'utilisation d'une méthode appelée EtherHelling qui utilise des contrats intelligents et la chaîne de verrouillage pour héberger et récupérer l'infrastructure de commande et de contrôle a été documentée, ce qui complique encore la suppression de serveurs malveillants en les dispersant sur des réseaux publics et immuables. (détails techniques). Une autre campagne suivie par des chercheurs a déployé un cheval de Troie à distance modulaire appelé Koalemos à travers des paquets npm infectés; ce RAT fait l'empreinte digitale du système, maintient des boucles de signalisation avec des serveurs externes et prend en charge plusieurs commandes pour fonctionner sur des fichiers, transférer des données et exécuter un code arbitraire (Analyse globale). Le vecteur favitio de ces groupes est souvent le logiciel légitime ou la chaîne d'outils du développeur - dépôts, paquets et tâches IDE - parce que c'est la façon la plus directe d'exécuter le code dans des environnements de confiance.

La réaction de l'écosystème de sécurité a également montré une évolution. Les sociétés de renseignement et les sociétés de cybersécurité soulignent que des groupes nord-coréens tels que Labyrinth Chollima ont divisé leurs opérations en unités avec des objectifs et des méthodes différenciés : certains se concentrent sur le vol systématique de cryptoactif en petits volumes, d'autres cherchent à obtenir de meilleurs résultats contre des cibles spécifiques avec des outils plus sophistiqués, et un troisième maintient des profils dédiés à l'espionnage en utilisant des rootkits et des techniques de persistance avancées. Bien que fonctionnant avec des noms différents, ils partagent l'infrastructure et les outils, suggérant une coordination centralisée qui optimise les ressources et les connaissances entre les différentes cellules (Rapport CrowdStrike).

Les implications pour les entreprises et les professionnels sont claires et inquiétantes. Sur un plan individuel, un compte LinkedIn compromis ou supplanté peut être utilisé pour gérer des dizaines d'offres d'emploi et établir une piste d'emploi légitime qui, aux yeux d'un peu prudent recruteur, ne suscite pas de soupçons. Au niveau de l'entreprise, un développeur distant ayant accès à des dépôts ou à des environnements d'intégration continue peut devenir une porte d'entrée pour implémenter les portes arrière, extraire le code source et exécuter les mouvements latéraux. La police norvégienne de sécurité (PST) a même signalé des cas où des entreprises norvégiennes avaient engagé des travailleurs nord-coréens à des postes éloignés, dont les salaires pouvaient financer des programmes d'armement du régime. (déclaration PST).

La bonne nouvelle est que bon nombre des mesures les plus efficaces contre ces tactiques d'ingénierie sociale sont des processus simples et vérifiables: demander au candidat de confirmer un courrier d'entreprise, demander une interaction directe dans le réseau professionnel pour vérifier la propriété du compte, exiger vidéo-lamada avec identification d'entreprise ou mettre en œuvre des mesures techniques qui empêchent l'exécution directe de code inconnu sur les machines avec accès à des ressources sensibles. D'un point de vue technique, il convient d'isoler les environnements d'évaluation, d'utiliser le bac à sable pour n'importe quel paquet externe, de vérifier les dépendances, de protéger les pipelines CI/CD et d'appliquer des politiques de privilèges minimaux strictes dans les dépôts. Il convient également de surveiller les transferts d ' avoirs numériques et les schémas inhabituels de retrait afin de détecter d ' éventuels flux illicites rapides. (Recommandations concernant l'analyse de la chaîne).

Pour ceux qui soupçonnent que leur identité a été usurpée dans les processus de sélection, une réaction rapide et publique est souvent efficace : mise en garde sur les profils sociaux, publication des canaux de contact officiels et explication de la manière de vérifier leur identité (par exemple, indication d'un courrier corporatif ou d'une méthode d'authentification connue). Du côté de l'entreprise, la vérification manuelle reste précieuse : demander à la personne de se connecter à partir de son vrai compte LinkedIn, répondre à une adresse mail vérifiée et effectuer une brève interaction en temps réel avec un gestionnaire interne peut filtrer une grande partie des sous-plantations. La combinaison des contrôles techniques et du bon sens dans les processus de gestion des ressources humaines et de développement est la meilleure défense contre de telles attaques..

Enfin, il est important de se rappeler que ce phénomène n'est pas une anomalie rare : c'est une évolution logique des acteurs qui combinent ingéniosité sociale, connaissance de l'écosystème de développement et techniques financières avancées. La coexistence de campagnes telles que Contagious Interview, les opérations de fourniture de colis malveillants et les activités de groupe attribuées à Lazarus ou Labyrinth Chollima montre que la menace est multidimensionnelle et persistante. Pour être tenu informé, pour appliquer des contrôles rigoureux dans les processus de recrutement et pour resserrer les défenses techniques autour des unités et pipelines sont des étapes indispensables pour réduire la surface de l'attaque et protéger les employés et les organisations de ces tactiques de plus en plus polies.