Un nouveau type de menace cybernétique émerge discrètement — et tout commence par une offre d’emploi trop belle pour être vraie. Les groupes de hackers nord-coréens, notamment le tristement célèbre Lazarus Group et sa sous-unité BlueNoroff, ciblent désormais les développeurs Web3 via de fausses entretiens d’embauche, des appels vidéo deepfake, et des tests de codage infectés par des malwares, le tout visant à accéder à des portefeuilles sensibles, des dépôts de code et des infrastructures cryptographiques internes.
Cette stratégie marque un tournant par rapport aux attaques « smash-and-grab » typiques des années précédentes. Ici, l’attaque débute par une poignée de main numérique plutôt que par une exploitation brute.
Le dernier rapport de la firme de cybersécurité Huntress, publié le 18 juin, décrit un schéma inquiétant. L’opération commence par un message LinkedIn professionnel envoyé par un recruteur. Les développeurs se voient proposer des postes dans des sociétés de conseil crypto aux noms crédibles — certaines enregistrées aux États-Unis — comme BlockNovas, Angeloper, et SoftGlide.
Après quelques échanges par e-mail, les développeurs sont invités à un entretien Zoom avec ce qui semble être un cadre de l’entreprise. Mais la personne à l’écran n’est pas réelle : la vidéo est générée par deepfake, avec l’apparence et la voix d’un dirigeant légitime.
Les candidats reçoivent ensuite un fichier pour passer un « test technique ». Dans un cas, un fichier nommé zoom_sdk_support.scpt installe un malware appelé BeaverTail — un outil sophistiqué capable de voler les données de portefeuilles crypto, les extensions de navigateur comme MetaMask, les identifiants GitHub, et même les phrases secrètes stockées en clair.
Le développement crypto en open-source signifie qu’un seul développeur peut avoir un accès étendu à des systèmes critiques, y compris les smart contracts, les ponts (bridges), et les portefeuilles. Avec moins de 40 000 nouveaux développeurs actifs en crypto l’année dernière et une baisse annuelle de 7 %, la dépendance à une base d’ingénieurs expérimentés se creuse.
Ce déséquilibre offre une opportunité dangereuse aux acteurs malveillants. La compromission d’un seul développeur bien placé peut entraîner des brèches à grande échelle.
Ce qui distingue cette campagne, c’est le niveau de coordination et de financement. Il ne s’agit pas de cybercriminels ordinaires, mais d’une opération soutenue par l’État visant à financer le programme d’armes sous sanction de la Corée du Nord.
Depuis 2017, les hackers du régime ont dérobé plus de 1,5 milliard de dollars en crypto-actifs. Les attaques majeures, comme le piratage de 620 millions de dollars de Ronin/Axie Infinity en 2022 et l’exploitation récente de 1,5 milliard de dollars sur Bybit en février 2025, portent les marques de cette campagne étatique. Les fonds volés sont souvent blanchis via des plateformes telles que Tornado Cash, Sinbad et THORChain.
Dans un communiqué, Sue J. Bai, de la division sécurité nationale du Département de la Justice américain, a confirmé la gravité de l’opération. Le 16 juin, le DOJ a annoncé la saisie de 7,74 millions de dollars en crypto liés à ces fausses offres d’emploi.
Les attaquants utilisent des techniques de tromperie avancées pour infiltrer les entreprises et gagner la confiance. Des liens Calendly falsifiés, des invitations Google Meet, et même des plateformes Zoom clonées font partie de leur arsenal. Nombre de développeurs, sous pression pour décrocher un emploi stable dans un marché baissier, ne détectent pas les signaux d’alerte subtils.
Une fois dans le système, le malware scrute les portefeuilles basés sur navigateur comme MetaMask et Phantom, extrait les fichiers wallet.dat, et recherche sur les appareils des mots-clés tels que « mnemonic » et « seed » pour localiser les phrases de récupération.
Des experts de Huntress et Unit 42 ont identifié plusieurs variantes de malware, notamment BeaverTail, InvisibleFerret, et OtterCookie — tous conçus pour être modulaires et compatibles multi-plateformes afin de maximiser leur portée.
Cette opération n’est pas isolée. En 2024 seulement, les groupes liés à la Corée du Nord ont été responsables de 47 cyberattaques crypto, totalisant 1,34 milliard de dollars — soit plus de 60 % de tous les vols de crypto signalés cette année-là.
Le FBI a déjà attribué plusieurs attaques au Lazarus Group, dont un important piratage de DMM Bitcoin au Japon, où un développeur avait été piégé pour exécuter un malware lors d’une candidature. L’attaquant s’était fait passer pour un recruteur et avait utilisé un « test de codage » malveillant pour accéder au système.
Les tactiques nord-coréennes ont évolué, passant de simples emails de phishing à des personnages fictifs parfaitement crédibles capables de passer les contrôles RH. Grâce aux outils d’IA, les faux recruteurs et cadres apparaissent désormais très réalistes en entretien, rendant le piège plus difficile à détecter.
Les autorités commencent à réagir. Le FBI a saisi le domaine BlockNovas en avril, et les agences internationales renforcent la surveillance des domaines suspects, le suivi des transactions blockchain, et le gel des fonds illicites.
Pourtant, l’opération nord-coréenne ne montre aucun signe de ralentissement. De nouvelles sociétés écran et variantes de malwares continuent d’apparaître, et la technique des faux entretiens d’embauche s’avère terriblement efficace.
Dans l’univers Web3, les développeurs ne sont pas de simples employés — ils gèrent souvent des milliards de dollars d’infrastructures décentralisées. La compromission d’un seul ingénieur peut mettre en péril tout un écosystème, notamment lorsqu’il s’agit de protocoles de pont ou de smart contracts à haute valeur.
Avec le télétravail et les équipes globales distribuées, la confiance s’établit souvent numériquement. Comme le montre cette campagne, cette confiance peut être exploitée.
Les tactiques évolutives de la Corée du Nord en matière de crypto révèlent à quel point les acteurs étatiques s’immiscent dans le tissu du monde des actifs numériques. Ce qui semble être une candidature classique peut en réalité être la première étape d’une cyberattaque sophistiquée et dévastatrice.
Tant que l’industrie s’appuiera sur le recrutement à distance et le développement open-source, défendre la chaîne de recrutement sera aussi crucial que sécuriser le code.
Mike T, un journaliste crypto accomplie, captive les auditeurs avec son analyse approfondie et ses reportages perspicaces sur le paysage en constante évolution de la blockchain et des cryptomonnaies. Avec un regard avisé sur les tendances du marché et un talent pour simplifier les concepts complexes, le travail de Mike est devenu une lecture indispensable pour les amateurs de crypto et les nouveaux venus.
Get the latest Crypto & Blockchain News in your inbox.
Join Now