Un « entretien de rêve », comment faire pour que votre portefeuille soit vidé ?

Imaginez que vous êtes un développeur Web3 compétent. Un jour, sur LinkedIn, quelqu’un vous contacte soudainement (semble-t-il), d’une grande entreprise, proposant un « poste de rêve » auquel vous ne pouvez pas dire non.

L’interlocuteur est très enthousiaste, et vous envoie rapidement une archive compressée, prétendant qu’il s’agit d’une « bibliothèque de code pour l’entretien ». Vous ne vous posez pas de questions, tapez habilement la commande npm install, prêt à montrer vos talents.

Au moment où vous appuyez sur Entrée, vous êtes « infecté ».

Vos identifiants de connexion, données de navigateur, voire la clé privée de votre portefeuille cryptographique, sont en train d’être discrètement empaquetés et envoyés vers un serveur inconnu. Le travail est compromis, et vous devenez en réalité la « machine à sous » de quelqu’un (et ce quelqu’un est un hacker d’État).

Ce n’est pas un film, c’est une réalité en train de se produire.

Cette attaque, nommée « Entretien Contagieux » (Contagious Interview), a été révélée dans le dernier rapport d’une société de sécurité. Plus de 300 packages malveillants ont été uploadés sur la plateforme npm — qui est pourtant « la pierre angulaire d’Internet moderne ».

Et derrière tout cela, on pointe la Corée du Nord.

Tout le monde se demande : encore eux ? Comment un pays aussi fortement bloqué peut-il avoir créé une telle armée de hackers de classe mondiale ?

Le Lego « infecté » : à quel point cette attaque est-elle violente ?

Pour comprendre la gravité de cette affaire, il faut d’abord savoir ce qu’est npm.

En résumé, c’est comme une immense « bibliothèque de blocs Lego numériques ». Partout dans le monde, les programmeurs évitent de réinventer la roue, et préfèrent chercher des « blocs » (packages de code) déjà prêts sur npm pour assembler leurs projets.

Et « Entretien Contagieux » consiste à empoisonner ces « usines de Lego » en y insérant des ingrédients toxiques.

Les attaquants se font passer pour des outils populaires comme express, dotenv, et uploadent plus de 300 packages malveillants. Les développeurs, surtout ceux travaillant dans Web3 et crypto, qui utilisent ces « blocs toxiques » sous l’effet de l’« entretien », voient leur logiciel malveillant se déployer immédiatement, volant tout ce qu’ils ont.

Quelle est la chose la plus effrayante ?

Ces « blocs toxiques » peuvent être intégrés dans d’innombrables applications et projets, ce qui permet à la « toxicité » de se propager de façon invisible. Bien que GitHub (la maison mère de npm) tente de supprimer ces packages, les chercheurs expliquent que c’est comme un jeu de « whack-a-mole » : chaque fois qu’un lot est supprimé, un autre apparaît, impossible à éradiquer complètement.

Cette attaque est précise, patiente, et extrêmement sophistiquée dans ses techniques d’arnaque. Et cette « patience » est justement ce qui rend les hackers nord-coréens si effrayants.

Décryptage : pourquoi la « armée » de hackers nord-coréens est-elle si « invincible » ?

Tandis que d’autres hackers montrent leur technique, font de l’espionnage ou cherchent à gagner un peu d’argent, l’objectif des hackers nord-coréens est très simple : faire de l’argent. Et cet argent, c’est pour le pays.

Ils ne sont pas de simples « hackers », ce sont des « soldats numériques » et des « pirates financiers » au service de la nation. Leur « invincibilité » repose essentiellement sur trois points :

1. Motivation extrême : c’est une « affaire d’État », pour financer le programme nucléaire

C’est la clé pour comprendre leur comportement.

En raison de sanctions strictes, la Corée du Nord a presque coupé toutes ses sources de devises étrangères. Pour continuer à fonctionner, notamment pour financer ses programmes nucléaires et de missiles, le cyberespace est devenu leur terrain de chasse idéal.

Selon un rapport de l’ONU, les hackers nord-coréens ont volé, au cours des dernières années, pour plus de 30 milliards de dollars via des cyberattaques. Oui, 30 milliards de dollars.

Un rapport indique même que ces revenus illégaux financent environ 40 % de leur « grande arme » — leur arsenal militaire.

Imaginez : quand un hacker a pour KPI de « financer » le pays pour ses missiles, sa motivation, sa discipline et sa combativité ne sont pas du tout comparables à celles d’un hacker solitaire.

2. Sélection rigoureuse : une « école de génies » au niveau national

Les hackers nord-coréens ne sont pas des « gamins autodidactes » des cybercafés. Ce sont des « armes » formées sous la volonté de l’État.

Ce processus de sélection commence dès l’enfance. Ils repèrent dans tout le pays les « génies » en mathématiques et informatique, et les envoient dans des universités prestigieuses comme l’Université de Pyongyang.

Là, ils reçoivent une formation intensive, militaire, et de plusieurs années.

Après l’obtention du diplôme, les meilleurs sont envoyés dans une institution redoutable : l’Agence de Reconnaissance de la Corée du Nord (RGB). Sous leur commandement, opèrent des unités célèbres comme « Lazarus Group » et « Bureau 121 ». Ils comptent plusieurs milliers de « soldats du net » à plein temps, tous considérés comme des trésors nationaux.

3. Tactiques étonnantes : patience, psychologie, rapidité d’apprentissage

L’attaque « Entretien Contagieux » illustre parfaitement leurs tactiques.

D’abord, une patience extrême. Ils peuvent passer plusieurs mois à créer un compte LinkedIn parfait, à discuter, à établir une relation de confiance, en attendant le moment opportun pour « frapper ».

Ensuite, leur maîtrise de la psychologie (ou ingénierie sociale). Ils exploitent la « soif d’un bon emploi » chez les développeurs. Qui, à ce stade, va vérifier minutieusement le code envoyé par le « recruteur » ? Ils jouent sur cette faiblesse psychologique.

Enfin, une vitesse d’itération impressionnante. Ce sont les premiers hackers à avoir changé leur cible, passant des banques traditionnelles (ex : la grande attaque de la banque du Bangladesh en 2016) aux cryptomonnaies (ex : le vol de 6,25 milliards de dollars d’Axie Infinity en 2022). Web3, DeFi, ponts cross-chain, ils maîtrisent tout.

Quand « open source » devient « arme » : que faire ?

Cette « Entretien Contagieux » est un signal d’alarme pour tous.

Elle exploite justement la plus grande force de l’écosystème open source : l’ouverture. Au départ, tout le monde pouvait uploader du code pour innover. Mais maintenant, cela devient un terrain idéal pour que les attaquants diffusent leurs « virus ».

Même si vous n’êtes pas programmeur, vous ne pouvez pas échapper à cette menace. Pensez à toutes les applications que vous utilisez quotidiennement, construites à partir de ces codes. La contamination en amont se répercute en aval, personne n’est à l’abri.

Pour les développeurs et les entreprises, le signal d’alerte est clair : chaque commande npm install doit être traitée comme une opération à haut risque, comme si vous manipuliez une bombe.

Ce jeu de « whack-a-mole » va probablement continuer. Tant que le mode d’opération « national » de la Corée du Nord ne changera pas, leur « chasse » aux crypto et Web3 ne s’arrêtera pas. **$LAYER **