Corée du Nord : les faux RH ciblent la crypto

Les campagnes de faux recruteurs repartent à la hausse dans l’écosystème crypto. Des groupes liés à la Corée du Nord approchent des développeurs, des traders et des responsables trésorerie avec de fausses offres d’emploi. L’objectif : installer des logiciels piégés, voler des clés et siphonner des fonds. Les agences de cybersécurité appellent à la vigilance, notamment sur LinkedIn et Telegram.

Faux recruteurs : le mode opératoire qui piège Web3

Le scénario est rodé. Un profil se présente comme chasseur de têtes pour un exchange, une fondation ou une fintech. Après un premier échange, il propose un test technique, un entretien rapide ou l’envoi d’un outil interne présenté comme indispensable.

Le fichier contient un installateur malveillant, une extension de navigateur ou un lien vers un portail de connexion piégé. Une fois la machine compromise, l’attaquant remonte vers le wallet, les API et les dépôts de l’entreprise.

Les chercheurs de Google TAG décrivent ces campagnes sous le nom d’« Operation Dream Job ». Les variantes changent selon la cible, mais la logique reste la même, usurpation d’identité, domaines lookalike et scripts signés.

CISA, le FBI et le Trésor détaillent de leur côté l’usage de profils nord-coréens qui se font passer pour des talents ou des recruteurs. Dans plusieurs cas, les attaquants déploient des drainers pour capter les fonds dès la première signature.

6 modern phishing methods you should know:

1. The Google Fakeout
2. Poisoned Ads
3. Operation Dream Job
4. The Spy Employee
5. Thread Hijacking
6. Prompt Injection

Stay alert. The most dangerous attacks are the ones that look legitimate. pic.twitter.com/MlK30mG5t5

— Case B – Blockchain Security Service (@caseborg) September 1, 2025

Pourquoi ça marche : ingénierie sociale et accès sensibles

D’abord, l’approche flatte l’ego. Un recruteur prétend avoir repéré un profil rare et presse la réponse. Les candidats baissent leur garde grâce aux promesses de salaire élevé et d’embauche rapide.

Ensuite, le vecteur technique arrive masqué. Un PDF contient un lien, un disque virtuel lance un binaire signé, une extension promet de tester un connecteur Web3. Dans l’urgence, les victimes contournent les procédures d’entreprise, surtout quand elles opèrent en télétravail.

S’ajoute un effet de levier propre à la crypto. Les postes visés disposent parfois d’accès à des clés, à des coffres ou à des permissions API. Une seule compromission suffit alors pour basculer un hot wallet, créer des clés de retrait ou pousser des ordres sur un marché.

Par ailleurs, les attaquants pivotent souvent vers les outils collaboratifs. Un compte Slack ou GitHub permet de rebondir, d’observer les workflows et d’attendre une fenêtre propice. L’attaque commence donc par une conversation anodine et se termine par un vidage méthodique.

Signaux d’alerte et réflexes à adopter

Plusieurs indices doivent alerter. Un RH qui exige l’installation d’un exécutable, l’ajout d’une extension, ou la signature d’un message pour « vérifier » une adresse. Un courriel depuis un domaine très proche d’une marque, mais avec une lettre inversée. Un entretien planifié uniquement sur messagerie instantanée, sans calendrier ni adresse corporate vérifiable. Dès qu’un doute subsiste, il faut basculer en environnement isolé et refuser toute opération qui implique une clé ou une signature.

Côté bonnes pratiques, il faut prendre de bonnes habitudes. Vérifier le domaine de l’employeur sur les registres publics, demander un contact via un canal officiel et ne jamais installer de binaire transmis en direct.

Les entreprises, elles, doivent séparer les clés de production et les clés de test, limiter les permissions API, tracer les actions sensibles et imposer l’usage de postes dédiés pour la trésorerie. Enfin, un simple principe aide à rester lucide : aucun recruteur sérieux n’a besoin d’un accès à un wallet pour évaluer un candidat.

Les autorités recommandent aussi de documenter chaque incident. Un rapport court, avec horodatage, hash du fichier et domaines contactés, facilite la riposte. Il permet également de partager des indicateurs de compromission avec des CERT ou des plateformes. Cette coopération fait gagner du temps, surtout lorsque les attaquants recyclent les mêmes infrastructures. À défaut, les mêmes leurres continuent de circuler pendant des semaines.

---

Source : CISA, OFSI

---

Pour aller plus loin sur le sujet :

• Ethereum ciblé : les pirates exploitent les smart contracts
• Crypto : Security Alliance lance un bouclier anti-phishing
• 61 000 BTC saisis à Londres : la reine du Ponzi plaide coupable