Le groupe nord-coréen BlueNoroff déploie le logiciel malveillant SilentSiphon ciblant les identifiants et les données Web3

Résumé exécutif

Le collectif de hackers nord-coréens parrainé par l'État, BlueNoroff, a déployé une nouvelle souche de logiciel malveillant, SilentSiphon, spécifiquement conçue pour compromettre des données et des identifiants critiques sur diverses applications et services liés au Web3. Cette menace sophistiquée cible les utilisateurs de macOS, y compris les cadres technologiques et les développeurs Web3, suscitant des inquiétudes quant à la sécurité des actifs numériques.

L'événement en détail

SilentSiphon est une suite de vol de données comprenant plusieurs scripts bash conçus pour collecter et exfiltrer des informations sensibles. Le logiciel malveillant est capable de collecter des données à partir d'Apple Notes, de Telegram, d'extensions de navigateur Web, et des identifiants stockés dans les navigateurs et les gestionnaires de mots de passe. De plus, il cible les secrets contenus dans les fichiers de configuration liés à un large éventail de services, notamment GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, et plusieurs plateformes blockchain importantes telles que Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, et OpenAI.

Cette activité est attribuée à BlueNoroff, un sous-groupe du célèbre Lazarus Group, également identifié comme APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anciennement Copernicium), et Stardust Chollima. Le déploiement de SilentSiphon fait partie de campagnes plus larges, GhostCall et GhostHire, qui relèvent de l'opération globale SnatchCrypto, active depuis au moins 2017.

Des victimes de GhostCall ont été observées sur plusieurs hôtes macOS au Japon, en Italie, en France, à Singapour, en Turquie, en Espagne, en Suède, en Inde et à Hong Kong. Cette campagne cible principalement les cadres de la technologie et du capital-risque en les approchant directement via des plateformes comme Telegram et en les attirant vers des réunions liées à l'investissement sur des sites web de phishing de type Zoom. La campagne GhostHire, qui touche principalement le Japon et l'Australie, se concentre sur les développeurs Web3. Les attaquants approchent les cibles sur Telegram, les incitant à télécharger et à exécuter des dépôts GitHub malveillants sous prétexte d'évaluations de compétences.

Déconstruction technique de l'opération du logiciel malveillant

SilentSiphon fonctionne comme une suite de scripts bash. Après l'infection initiale, généralement via CosmicDoor, plusieurs scripts shell sont créés pour faciliter la collecte et l'exfiltration de données vers les serveurs de commande et de contrôle (C2) de l'attaquant. Un composant clé, upl.sh, fonctionne comme un lanceur d'orchestration, regroupant divers modules d'extraction de données autonomes spécifiques au système de la victime. Cette approche modulaire permet une collecte de données complète adaptée à l'environnement compromis, contournant efficacement les mesures de sécurité standard conçues pour des vecteurs de menace uniques.

Implications pour le marché

L'émergence de SilentSiphon et les campagnes continues de BlueNoroff soulignent les risques croissants de cybersécurité au sein de l'écosystème Web3. Le ciblage direct des services liés à la blockchain et des outils de développement pourrait éroder la confiance des utilisateurs et entraver l'adoption plus large des technologies décentralisées. La nature sophistiquée de ces attaques, exploitant l'ingénierie sociale et les plateformes couramment utilisées, signale un besoin de vigilance accrue de la part des utilisateurs individuels et des entités institutionnelles engagées dans les actifs numériques.

Le contexte plus large de la sécurité Web3 indique un paysage précaire. Le premier trimestre 2025 a enregistré plus de 2 milliards de dollars de pertes dans le secteur Web3, marquant une augmentation de 96 % par rapport au premier trimestre 2024. Les exploits de contrôle d'accès à eux seuls ont été responsables de plus de 1,6 milliard de dollars de pertes au cours de cette période. Bien que les exploits de contrats intelligents aient représenté une proportion plus faible, avec 29 millions de dollars de dommages, la nature omniprésente du phishing et des méthodes de vol de données directes comme SilentSiphon contribue de manière significative à l'insécurité financière globale.

Commentaires d'experts et meilleures pratiques

Les experts en sécurité soulignent l'importance critique de pratiques de cybersécurité robustes dans l'espace Web3. Il est conseillé aux individus et aux organisations d'adopter des portefeuilles réputés, de préférence ceux dotés de fonctionnalités de sécurité établies et d'un historique éprouvé. La mise à jour régulière des logiciels est primordiale pour garantir l'application des derniers correctifs de sécurité. L'utilisation de portefeuilles froids, qui stockent les clés privées hors ligne sur des dispositifs matériels ou des sauvegardes papier sécurisées, est fortement recommandée pour atténuer considérablement le risque de cyberattaques. De plus, le principe fondamental de ne jamais partager de clés privées ou de phrases de récupération avec quiconque reste une pierre angulaire de la sécurité des actifs numériques. Cette approche proactive, combinant des outils de sécurité avancés avec un comportement utilisateur discipliné, est essentielle pour contrer les menaces évolutives comme SilentSiphon et protéger les actifs au sein de l'environnement Web3.

Contexte plus large

Le ciblage constant par BlueNoroff des secteurs Web3 et blockchain par le biais d'opérations telles que SnatchCrypto souligne une menace persistante et évolutive de la part d'acteurs étatiques nord-coréens. Leurs tactiques, qui incluent une ingénierie sociale sophistiquée et le développement de logiciels malveillants polyvalents, reflètent une orientation stratégique vers le gain financier par le biais du cybervol, ciblant souvent des individus et des organisations de grande valeur dans l'espace des actifs numériques. La fréquence et la sophistication croissantes de ces attaques nécessitent une innovation continue en matière de défenses de cybersécurité et un effort de collaboration au sein de la communauté Web3 pour se protéger contre les futures incursions. Cette tendance reflète les enjeux financiers croissants de l'économie décentralisée, ce qui en fait une cible attractive pour des acteurs étatiques bien dotés en ressources. La réponse de l'industrie à de telles menaces sera cruciale pour façonner sa posture de sécurité et sa résilience à long terme.