Des hackers nord-coréens infiltrent des projets crypto via de faux profils et des outils Google

Une petite équipe d’employés informatiques nord-coréens a été prise en flagrant délit d’infiltration de projets crypto. Ils ont utilisé pour cela de faux profils, des outils Google et même des ordinateurs loués. Les hackers sont liés à un vol numérique de 680.000 dollars en juin.

La révélation vient du chercheur blockchain ZachXBT, qui a publié des captures d’écran d’un appareil piraté appartenant à l’un des hackers. Les images montrent comment l’équipe opère et confirment des soupçons antérieurs de cybercriminalité à grande échelle en provenance de la Corée du Nord.

Fausses identités et candidatures astucieuses

Le collectif de hackers se compose de six personnes qui gèrent ensemble au moins 31 fausses identités. Ils ont accès à des pièces d’identité officielles volées, des numéros de téléphone et des comptes achetés sur LinkedIn et Upwork. Grâce à cela, ils parviennent à décrocher des missions auprès d’entreprises crypto qui ne se doutent de rien.

Un des hackers a même postulé chez Polygon Labs pour un poste d’ingénieur full-stack. Des entretiens d’embauche scénarisés montrent qu’ils se faisaient passer pour d’anciens employés de la place de marché NFT OpenSea et de l’entreprise blockchain Chainlink.

Les plateformes de freelance comme porte d’entrée

Les hackers ont réussi, via des plateformes comme Upwork, à obtenir des postes de ‘blockchain developer’ ou de ‘smart contract engineer’. À l’aide d’outils d’accès à distance tels qu’AnyDesk, ils exécutaient le travail, tout en masquant leur localisation via des VPN.

Les données de Google Drive et de Chrome montrent qu’ils utilisaient des outils Google pour gérer les tâches, plannings et budgets. La communication se faisait en anglais via l’outil de traduction de Google. En mai, ils ont dépensé près de 1.500 dollars en frais opérationnels.

Lien direct avec des piratages antérieurs

Selon ZachXBT, l’un de leurs portefeuilles crypto est directement lié au piratage de 680.000 dollars visant la place de marché de fan tokens Favrr en juin 2025. Par le passé, des hackers nord-coréens ont également été liés au vol de 1,4 milliard de dollars sur la plateforme d’échange crypto Bitbit.

Leur historique de recherche révèle des centres d’intérêt techniques, notamment la possibilité d’exécuter des tokens ERC-20 sur Solana et des recherches sur des entreprises d’IA en Europe.

Avertissement aux entreprises

ZachXBT avertit que de nombreuses entreprises vérifient insuffisamment les candidats, notamment en raison du grand nombre de postulants. Le manque de collaboration entre les entreprises tech et les plateformes de freelance aggraverait le problème.

Le mois dernier, le département du Trésor américain a imposé des sanctions à l’encontre de deux personnes et de quatre entreprises faisant partie d’un réseau informatique nord-coréen qui infiltrait des entreprises crypto.