La campagne Graphalgo originaire de Corée du Nord utilise un faux test de travail pour diffuser des logiciels malveillants

JAKARTA - Une campagne cyber liée à un acteur de la menace nord-coréen a été mise au jour en utilisant un faux poste d’emploi pour distribuer du malware aux développeurs de logiciels. Cette opération est connue sous le nom de Graphalgo et est censée cibler des professionnels JavaScript et Python, en particulier ceux ayant de l’expérience dans le domaine des crypto-monnaies.

Le rapport de ReversingLabs indique que la campagne est active depuis mai 2025. Les auteurs se sont fait passer pour des entreprises de blockchain et de crypto-monnaie, puis ont mis en ligne des annonces d’emploi frauduleuses sur des plateformes telles que LinkedIn, Facebook et Reddit.

Les candidats intéressés sont invités à passer un test technique dans le cadre du processus de recrutement. Typiquement, la tâche consiste à déboguer ou à améliorer un projet d'exemple qui semble valide et professionnel. Mais derrière le projet, il existe des dépendances dangereuses insérées de manière cachée et téléchargées dans des référentiels fiables tels que npm et PyPI.

Lorsque la victime exécute le projet, la dépendance installe un cheval de Troie d'accès à distance (RAT) sur le système. Ce malware donne aux auteurs le contrôle complet du périphérique infecté sans que la victime ne s'en rende compte.

Selon les conclusions divulguées, au moins 192 paquets dangereux sont associés à l’optique Graphalgo. Dans un cas, le paquet appelé bigmathutils était à l’origine propre jusqu’à la version 1.1.0, avant d’être finalement infiltré par un payload dangereux. Par la suite, le paquet a été supprimé pour éviter toute détection ultérieure.

Le RAT installé est capable de mener de nombreuses activités dangereuses, notamment afficher une liste des processus en cours, exécuter des commandes arbitraires, extraire des fichiers, jusqu'à télécharger et exécuter des charges utiles supplémentaires. Le malware vérifie également l'existence de l'extension du portefeuille MetaMask sur le navigateur de la victime, ce qui indique le motif financier derrière l'attaque.

La communication entre le malware et le serveur de contrôle est effectuée avec une méthode de tokenisation protégée, ce qui rend difficile la surveillance externe par le système de sécurité.

Les experts en cybersécurité estiment que l’opération Graphalgo est probablement liée au groupe Lazarus, un groupe de hackeurs longtemps associé à la Corée du Nord et connu pour mener des attaques basées sur la social engineering et des escroqueries d’emploi.

Cette affaire rappelle aux développeurs de toujours effectuer une vérification approfondie des paquets et des dépendances avant de les installer, y compris d’examiner l’historique des versions, la réputation de l’éditeur et les activités de mise à jour suspectes dans les référentiels de logiciels.