Aller au contenu principal Activer le contraste adaptéDésactiver le contraste adapté
Fermer
  2. Aide
  2. Aide

Comment les hackers nord-coréens tentent de dérober des cryptomonnaies via des faux recrutements
information fournie par Reuters 04/09/2025 à 12:00

par AJ Vicens et Raphael Satter

Des pirates informatiques nord-coréens misent sur des offres d'emploi crédibles pour leurrer des travailleurs du secteur des cryptomonnaies et voler des jetons numériques, a appris Reuters à partir, notamment, des témoignages de 25 membres du secteur qui évoquent un problème omniprésent.

La chose est devenue tellement courante que les candidats ont désormais pris le réflexe de vérifier les organisations ou individus publiant les offres d'emploi pour s'assurer qu'il n'y a pas de lien avec Pyongyang.

"Cela m'arrive tout le temps et je suis sûr que cela arrive à tout le monde dans le secteur", témoigne Carlos Yanez, responsable du développement commercial chez Global Ledger, une société d'analyse de blockchain basée en Suisse. Il fait partie des individus récemment ciblés par des hackers, selon les données fournies par les sociétés de cybersécurité SentinelOne et Validin qui publient jeudi un rapport sur les menaces cyber.

Carlos Yanes précise que les hackers nord-coréens se sont améliorés de façon "effrayante" au cours de l'année précédente alors qu'ils auraient dérobé au total pour 1,34 milliard de dollars de cryptomonnaie grâce à ce stratagème, selon Chainalysis.

Les sommes dérobées soutiendraient le programme d'armement de Pyongyang, affirment des observateurs américains et onusiens.

Fin 2024 déjà, le Federal Bureau of Investigation (FBI) avait mis en garde le public contre des stratagèmes d'ingénierie sociale "complexes et élaborés" nord-coréens ciblant le secteur des cryptomonnaies.

Mais les hackers utilisent de fines approches pour leurrer leurs victimes, selon sept tentatives que Reuters a pu documenter.

LINKEDIN ET TELEGRAM

Victoria Perepel, par exemple, a d'abord été contactée sur LinkedIn ou Telegram au sujet d'un emploi lié à la blockchain. "Nous agrandissons actuellement notre équipe", affirmait un message envoyé à Victoria Perepel sur le réseau professionnel le 20 janvier par un recruteur se faisant passer pour un représentant de Bitwise Asset Management.

Après un bref échange sur le poste et la rémunération envisagés, le recruteur incitait les candidats potentiels à consulter un site web obscur pour effectuer un test de compétences et enregistrer une vidéo. À ce stade, plusieurs cibles ont commencé à se méfier.

Pourquoi ne pas simplement réaliser un entretien en direct sur une plateforme vidéo plus connue, comme Google Meet ou Zoom? S'est ainsi demandé le 21 janvier Olof Haglund, entrepreneur dans l'intelligence artificielle, lorsqu’il a été contacté par Wieslaw Slizewski, qui se présentait comme un recruteur pour Robinhood.

"Nous suivons un processus d’embauche structuré et l’évaluation vidéo est un élément clé de notre évaluation pour garantir la cohérence et l’équité pour tous les candidats", expliquait le faux recruteur dans un message LinkedIn.

Olof Haglund a fini par mettre fin à l'entretien, contrairement à d'autres, à l'image d'un employé d'une entreprise américaine du secteur qui reconnaît avoir enregistré la vidéo et l'avoir envoyée à une personne prétendant recruter pour ripple Labs, une entreprise de cryptomonnaies. Ce n'est que le soir même, lorsqu'il a constaté que 1.000 dollars d'ethers et de Solana avaient disparu du portefeuille numérique qu'il conservait sur son ordinateur, qu'il a compris qu'il avait été roulé dans la farine.

Autre exemple: Ben Humbert, consultant, discutait via LinkedIn avec Mirela Tafili, une recruteuse prétendant agir pour le compte de la plateforme d'échange de cryptomonnaies Kraken, au sujet d'un poste de gestionnaire de projet. Elle lui a demandé de passer un "bref entretien virtuel" et lui a fourni un lien qui, selon elle, permettrait d'accélérer le processus et de le faire passer à l'étape suivante. Suspicieux, il a préféré mettre fin à la discussion.

OPERATION "CONTAGION INTERVIEW"

Joints, Ripple et Bitwise n'ont pas répondu aux demandes de commentaires tandis que Robinhood a indiqué dans un communiqué avoir été informé d'une campagne lancée plus tôt cette année visant à usurper l'identité de plusieurs sociétés de cryptomonnaies, dont Robinhood. La société affirme avoir pris des mesures pour désactiver les domaines web liés à cette arnaque.

LinkedIn a indiqué dans un communiqué que les faux comptes de recruteurs identifiés par Reuters avaient déjà fait l'objet de mesures, tout comme Telegram qui a expliqué que les arnaques avaient été éliminées partout où elles étaient détectées.

SentinelOne et Validin attribuent ces vols à une opération nord-coréenne précédemment baptisée "Contagion Interview" par la société de cybersécurité Palo Alto Networks. Les chercheurs qui ont suivi cette campagne ont conclu que les Nord-Coréens en étaient responsables, en se basant notamment sur l'utilisation d'adresses IP et d'adresses e-mail liées à de précédentes activités de piratage nord-coréen.

Dans le cadre de leur enquête, les chercheurs ont découvert des fichiers accidentellement exposés par les pirates informatiques affichant les adresses e-mail et IP de plus de 230 personnes – codeurs, influenceurs, comptables, consultants, cadres, spécialistes du marketing et plus encore – ciblées entre janvier et mars.

INFIME FRACTION DES VICTIMES POTENTIELLES

Reuters a contacté toutes les cibles pour les alerter de cette activité malveillante. Les dix-neuf personnes interrogées par l'agence de presse ont toutes confirmé avoir été ciblées à cette époque.

Reuters n'a pas été en mesure de joindre les pirates informatiques tandis que la mission de la Corée du Nord auprès des Nations Unies n'a pas répondu aux sollicitations.

Les cibles identifiées par Reuters ne représentaient qu'une "infime fraction" des victimes potentielles de Contagious Interview qui n'est elle-même qu'une opération parmi d'autres de Pyongyang pour dérober des jetons numériques, a déclaré Aleksandar Milenkoski, chercheur chez SentinelOne qui co-signe le rapport.

Percoco, le dirigeant de Kraken, explique que l'entreprise avait commencé à détecter des arnaques au recrutement à la fin de l'année dernière, et que des signalements persistaient en mars, avril et mai. L'entreprise utilise des outils pour détecter les faux comptes se faisant passer pour des recruteurs, mais reçoit également des signalements de personnes extérieures qui la contactent pour faire état de faux entretiens usurpant l'identité de l'entreprise.

"N’importe qui peut dire qu’il est recruteur", prévient-il.

(Reportage d'AJ Vicens et Raphael Satter ; version française Bertrand De Meyer, édité par Augustin Turpin)

Valeurs associées

XRP/USD
2,8195 USD CryptoCompare -0,17%
© 2025 Thomson Reuters. All rights reserved. Reuters content is the intellectual property of Thomson Reuters or its third party content providers. Any copying, republication or redistribution of Reuters content, including by framing or similar means, is expressly prohibited without the prior written consent of Thomson Reuters. Thomson Reuters shall not be liable for any errors or delays in content, or for any actions taken in reliance thereon. "Reuters" and the Reuters Logo are trademarks of Thomson Reuters and its affiliated companies.

0 commentaire

Signaler le commentaire

Fermer

A lire aussi

  • Le prince japonais Hisahito lors de sa cérémonie de passage à l'âge adulte le 6 septembre 2025 au palais impérial de Tokyo ( POOL / David Mareuil )
    Le Japon célèbre la majorité du seul jeune héritier masculin au trône
    information fournie par AFP 06.09.2025 09:59 

    Le Japon a célébré samedi l'entrée dans l'âge adulte du prince Hisahito, seul jeune héritier masculin au trône, sur les épaules duquel repose l'avenir de la famille impériale. Le neveu de l'empereur Naruhito, deuxième dans l'ordre de succession après son père, ... Lire la suite

  • Giorgio Armani lors de l'inauguration d'une boutique à Barcelone le 16 septembre 2003 ( AFP / Cesar RANGEL )
    Milan rend hommage au "roi" Armani
    information fournie par AFP 06.09.2025 09:41 

    Milan rend hommage au "roi" Giorgio Armani, dont le corps est exposé depuis samedi matin en chapelle ardente dans l'Armani Teatro, lieu emblématique de l'étroite relation entre le couturier et la capitale lombarde. Des centaines de personnes faisaient la queue ... Lire la suite

  • Des habitants marchent sur une plage de Sydney fermée à la suite d’une attaque de requin à Long Reef Beach tandis qu'un hélicoptère survole la zone, le 6 septembre 2025. ( AFP / Saeed KHAN )
    Un surfeur tué par un "grand requin" en Australie
    information fournie par AFP 06.09.2025 08:31 

    Un "grand requin" a tué un surfeur samedi sur une plage populaire de Sydney, a annoncé la police, une attaque mortelle rare qui a entraîné la fermeture de plusieurs plages en Australie. La victime, un habitant de 57 ans, surfait avec cinq ou six amis dans les eaux ... Lire la suite

  • Le PDG D'Anthropic Dario Amodei, le 23 janvier 2025 au Forum de Davos ( AFP / FABRICE COFFRINI )
    IA et droits d'auteurs: Anthropic va verser 1,5 milliard de dollars
    information fournie par AFP 06.09.2025 05:00 

    La start-up américaine d'intelligence artificielle (IA) Anthropic a accepté de verser au moins 1,5 milliard de dollars à un fonds d'indemnisation d'auteurs, ayants droit et éditeurs qui poursuivaient l'entreprise pour avoir téléchargé illégalement des millions ... Lire la suite

Pages les plus populaires

  • Accueil Bourse
  • Tous les cours boursiers
  • Cours CAC 40
  • Indices boursiers internationaux
  • Palmarès Bourse
  • Cours du Pétrole (Brent)
  • Convertisseur de devises
  • Convertisseur dollar / euro
  • Convertisseur euro / dollar
  • Convertisseur livres / euro
  • Convertisseur franc suisse / euro

L'offre BoursoBank