Le monde de la cryptomonnaie vient de découvrir une nouvelle faiblesse dans son armure déjà bien cabossée. C’est officiel : les hackers nord-coréens n’ont décidément peur de rien, et surtout pas de troquer l’art du phishing à la papa contre l’innovation pure. Leur dernière astuce ? Cacher des malwares directement sur la blockchain. On lève le voile sur ce tour de passe-passe qui met l’écosystème crypto… en alerte rouge.
Une technique aussi innovante qu’effrayante : EtherHiding
Depuis février 2025, la cybersécurité connaît de nouveaux maux de tête. Les chercheurs du Google Threat Intelligence Group (GTIG) ont mis à jour une opération inédite orchestrée par des hackers nord-coréens. Fini les traditionnels serveurs facilement identifiables et bloquables, les pirates cachent désormais leurs logiciels malveillants au chaud… sur la blockchain. Cette méthode a été baptisée « EtherHiding », clin d’œil à la blockchain Ethereum qui sert de terrain de jeu privilégié à ces cybercriminels.
- Insertion de malwares dans des smart contracts (contrats intelligents) sur Ethereum et Binance Smart Chain
- Utilisation détournée de la DeFi : contrats automatisés servant à piéger les utilisateurs et l’écosystème lui-même
À la différence des hébergements classiques, la blockchain est publique et accessible à tous. Les hackers créent donc un contrat intelligent, glissent le code malveillant déguisé comme un simple texte, et le déploient tranquillement. Cerise sur le gâteau piégé : ce code peut être modifié à tout moment par les pirates, comme l’a prouvé Google en observant un contrat mis à jour pas moins de 20 fois en seulement quatre mois. Une fois le malware ancré dans la blockchain, impossible de le supprimer, la chaîne de blocs protégeant l’intégrité du code… et des mauvaises intentions qui vont avec.
Comment (et pourquoi) cette méthode rend fous les experts en sécurité
L’objectif de cette manœuvre ? Utiliser la robustesse et la transparence de la blockchain contre ses propres créateurs. Les antivirus, les autorités, les experts ? Tous dépassés par cette parade qui fait de la blockchain l’alliée involontaire des pirates.
Comme le résume Robert Wallace, chercheur Google à l’origine de la découverte : « Ce développement signe une escalade du paysage des menaces : des acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l’ordre et aisément adaptables à de nouvelles campagnes. »
Fausses offres d’emploi et vrais pièges : le mode opératoire
Derrière la technologie, la psychologie. L’attaque commence tout gentiment avec de fausses offres d’emploi pour des développeurs. Les pirates, aussi imaginatifs que déterminés, se font passer pour des start-ups pleines d’avenir. Profils crédibles, sociétés fictives ou réseaux pro : tout est soigné pour ferrer la victime idéale. La suite donne des sueurs froides :
- L’infortuné développeur est invité à un entretien en ligne.
- Pendant la conversation, on lui demande de passer un test de compétence… qui implique d’exécuter un script sur son ordinateur.
- Ce script va télécharger secrètement un autre code, caché comme par magie dans un smart contract.
- Entrée en scène du malware JADESNOW, pioché directement sur la blockchain.
JADESNOW se contente alors d’aller récupérer et lancer la véritable menace : le spyware InvisibleFerret. Là, plus rien n’arrête les pirates : le malware fouille tous les recoins de l’ordinateur, aspire mots de passe, adresses email, infos bancaires, sans oublier les portefeuilles crypto gérés via des extensions comme MetaMask ou Phantom. InvisibleFerret part à la chasse aux clés privées : une fois dans la nature, ces informations garantissent aux hackers un accès royal aux wallets de leurs victimes.
Les données volées ? Eleles sont emballées consultamment dans une archive ZIP, puis envoyées discrètement hors de l’ordinateur via Telegram – que ce soit avec un bot, un canal privé ou même un serveur externe. Au final, l’unique objectif : s’emparer du pactole numérique stocké par des développeurs trop confiants.
Derrière le rideau : UNC5342 et la menace persistante
Les artistes de ce braquage 2.0 ? Un groupe mandaté par la Corée du Nord, connu chez les experts sous le doux nom de UNC5342. Leur spécialité : le vol de cryptomonnaies.
- Cybercriminels aguerris agissant pour le régime de Kim Jong Un
- This opération s’inscrit dans une stratégie plus large ayant déjà rapporté 2 milliards de dollars en 2025
- Le groupe Lazarus, leurs collègues nord-coréens, reste tristement célèbre pour avoir signé le plus gros hack crypto jamais vu (Bybit, février dernier)
Cette tactique de piratage prouve que l’écosystème crypto reste la cible préférée des hackers expérimentés, capables de détourner les innovations pour mieux frapper là où on les attend le moins.
Conclusion :
À l’heure où les blockchains sont vantées pour leur sécurité, la tactique des hackers nord-coréens secoue la communauté. Redoublez de prudence, surtout si une start-up au nom exotique vous propose un entretien en ligne (ou même un simple café virtuel). Dans le Far West des cryptos, la méfiance reste de mise… et le meilleur firewall, c’est parfois le bon sens.