Un chercheur de Bitdefender a récemment découvert une nouvelle tactique du groupe Lazarus sur LinkedIn. Derrière une offre d’emploi alléchante se cache un malware redoutable.
Sur LinkedIn, Lazarus Group diffuse une proposition intrigante pour collaborer sur un projet de crypto-monnaie décentralisé. Le message semblait discret et engageant. Les descriptions étaient vagues, mais attirantes, confie Alina Bizga, analyste chez Bitdefender. Une opportunité professionnelle ? Pas tout à fait.
Une proposition alléchante, mais dangereuse
Le piège promettait flexibilité et rémunération avantageuse. En réalité, Lazarus group visait à introduire un logiciel malveillant multiplateforme via les offres sur LinkedIn. Ce dernier pouvait s’en prendre aux données sensibles des victimes.
Après avoir suscité l’intérêt, les hackers demandent un CV ou un lien vers GitHub. Ces informations renforcent leur crédibilité. Viennent ensuite des fichiers prétendument liés à un produit minimum viable (MVP). Ils cachent en réalité un malware conçu pour collecter des identifiants et exfiltrer des données précieuses.
Lorsque ces fichiers sont ouverts, ils activent plusieurs modules malveillants. Parmi eux, mlip.py surveille le presse-papiers à la recherche de données cryptographiques. Pay.py collecte des informations système avant de les envoyer à distance. Enfin, bow.py extrait des données sensibles depuis les navigateurs.
Lazarus Group, actif bien au-delà de LinkedIn
Depuis plusieurs années, le groupe nord-coréen adapte ses méthodes pour soutenir son régime. Il cible des secteurs stratégiques comme l’aéronautique, la défense ou encore l’industrie nucléaire. Lazarus ne se contente pas de voler des informations personnelles. Ces attaques peuvent compromettre des entreprises entières.
En accédant aux appareils professionnels, les pirates informatiques exfiltrent des technologies propriétaires ou des secrets commerciaux. Les industries technologiques sont particulièrement vulnérables face à ces menaces croissantes.
En janvier 2025, SecurityScorecard avait déjà signalé des campagnes similaires. Elles visaient alors les développeurs de logiciels. Cette fois encore, les objectifs incluent le vol de codes sources, de secrets commerciaux et de clés cryptographiques. Les experts de Bitdefender ont souligné la complexité de cette chaîne d’infection. Elle mêlait scripts Python multicouches, outils JavaScript et composants .NET capables de désactiver les systèmes de sécurité.
La vigilance reste la meilleure arme
Face à ces menaces complexes, Bitdefender recommande vivement aux développeurs de rester méfiants. Les signes d’une arnaque peuvent être subtils, mais ils existent : descriptions floues, erreurs fréquentes dans les communications, ou encore des référentiels suspects appartenant à des comptes sans historique.
Pour éviter toute contamination, il est essentiel de tester tout fichier suspect dans un environnement sandbox sécurisé. « Nous avons observé cette campagne dans un cadre contrôlé », rappelle Bizga. « Mais nous déconseillons fortement aux personnes non formées de tenter cette expérience sans supervision adéquate. »
