Google lance l’alerte: des hackers nord-coréens dissimulent des logiciels malveillants dans Ethereum et BNB

Des hackers nord-coréens ont trouvé une nouvelle façon d’attaquer les utilisateurs via la blockchain. Selon Google, ils dissimulent leur malware dans des contrats intelligents sur des réseaux comme Ethereum (ETH) et BNB Chain. De ce fait, le logiciel malveillant est presque impossible à supprimer.

Les hackers utilisent la blockchain comme cachette

D’après les recherches du Threat Intelligence Group de Google, les hackers emploient une technique appelée « EtherHiding ». Elle consiste à dissimuler du code malveillant dans des contrats de la blockchain, normalement conçus pour exécuter automatiquement des transactions.

Le malware se propage via des sites piratés, souvent sous WordPress, qui redirigent à l’insu des visiteurs vers de faux écrans de connexion ou des téléchargements infectés. Quiconque visite ce type de site peut perdre des données à son insu, voire devenir la cible d’une attaque contre son portefeuille crypto.

Ce qui le rend encore plus dangereux : le code s’exécute directement sur la blockchain et ne peut donc pas être simplement mis hors ligne. Même lorsque des chercheurs en sécurité signalent le problème, le contrat reste actif.

La Corée du Nord dérobe des milliards via des piratages crypto

Selon Google et la société d’analyse blockchain Elliptic, la Corée du Nord est déjà responsable en 2025 de plus de 2 milliards de dollars de cryptomonnaies volées. Le pays est associé à de vastes hacks visant notamment Bybit, WOO X et Seedify.

Au total, depuis 2017, des hackers nord-coréens ont dérobé plus de 6 milliards de dollars via des cyberattaques. Les services de renseignement occidentaux affirment qu’une grande partie de cet argent sert à financer le programme nucléaire du pays.

Les hackers utilisent plusieurs tactiques :

• ils se font passer pour des développeurs ou des recruteurs,
• envoient de fausses offres d’emploi et des e-mails,
• et montent de fausses entreprises pour accéder à des plateformes crypto.

Pourquoi EtherHiding est si difficile à stopper

La plupart des hackers diffusent leur malware via des sites web ou des serveurs, que l’on peut bloquer ou mettre hors ligne. Avec EtherHiding, c’est différent : le code est hébergé sur la blockchain elle-même, conçue pour ne jamais être désactivée.

Selon Google, cela fait d’EtherHiding une « nouvelle génération de cyberattaque » difficile à contrer. « Une fois le code inscrit sur la blockchain, il continue de tourner », avertissent les chercheurs.

Le malware peut notamment :

• afficher de fausses pages de connexion,
• voler des informations sur les ordinateurs,
• ou installer des ransomwares qui verrouillent les fichiers.

Que pouvez-vous faire ?

Pour les internautes, la règle d’or est la vigilance face aux sites inconnus ou aux « mises à jour » qui apparaissent soudainement. Ne cliquez pas à la légère sur des liens de téléchargement ou des pop-ups, surtout si vous utilisez des cryptos ou si votre portefeuille est en ligne.

Les experts en sécurité recommandent également de :

• maintenir WordPress et les extensions de navigateur à jour,
• n’utiliser que des applications crypto officielles,
• et redoubler de prudence avec les e-mails ou les visioconférences provenant d’expéditeurs inconnus.