Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

La corée du nord dans le game des malwares ?

12 Janvier 2025 | Valentin

Illustration de l'article

recap

cyber

actu

Une liste de tickets longue comme le bras, des bugs de partout, la fin du télé-travail : voilà quelques raisons parmi les centaines qui existent qui pourraient vous pousser à vouloir démissionner.

Alors, vous scrollez inlassablement sur Linkedin à la recherche de l’annonce qui vous fera rêver et miracle, vous trouvez l’entreprise qui semble parfaite.

Processus d’embauche oblige, et après un test technique que vous réussissez avec brio, vous vous faites ghoster par l’entreprise, car en réalité tout ceci faisait partie d’une attaque que l’on appelle Contagious Interview.

Clef de crypto et donnée volée, ordinateur compromis, bref, vous connaissez la chanson et on parle de cette attaque dans ce deuxième recap de l’actualité cyber de cette année.

Eau & Hackers

Ne plus avoir d’eau à son robinet à cause d’une cyberattaque, ça paraît un peu tiré par les cheveux mais ce n’est pas de la science fiction.

La semaine dernière j’avais un peu teasé cela en annonçant que les services essentiels sont de plus en plus touchés par les cyberattaques et quand je parle de service essentiel, évidemment cela concerne aussi l’eau courante.

Et aux États-Unis, les fournisseurs d’eau sont la cible constante de cyberattaques mettant en alerte toute la jolie petite clique du CISA en passant par le FBI.

Les attaquants, que ce soit des hacktivistes ou des groupes étatiques, se concentrent sur les petits acteurs du marché, extrêmement en retard sur la cybersécurité mais aussi sur les équipements qu’ils utilisent, à travers des attaques ultra simplistes.

Si pour le moment, aucune véritable coupure de l’eau n’a été enregistrée, mais cela ne saurait tarder, voilà pour moi les cibles qui vont être privilégiées par les attaquants en 2025 : les services essentiels de l’eau à l’électricité, en passant par les déchets.([1])

Nations Unies

Si certains avaient de l’espoir, 2025 ne sera pas la fin de l’ère des data leaks pour la cyber, bien au contraire.

La semaine dernière c’était le trésor public des États-Unis et cette semaine ce sont les Nations unies et plus précisément l’Organisation de l’Aviation Civile Internationale qui ont subi une fuite de plus de 42 000 dossiers de recrutement.

Si la fuite concerne uniquement des données personnelles d’employés recrutés ou de personnes ayant souhaité rejoindre l’organisation, ce qui est déjà très triste pour eux, aucune donnée et aucun système en relation avec la sécurité des avions n’auraient été touchés, pour le moment.

Je dis pour le moment, car comme vous le savez peut-être, qui dit fuite de données dit tentative de spear phishing derrière et on verra si aucun employé ne tombe dans le panneau cette année.

À noter que l’attaquant ou le groupe d’attaquants, on ne sait pas bien, derrière ce leak connu sous le nom de NatoHub n’est pas à son coup d’essai sur les États-Unis car il y a 6 mois, 14 000 délégués aux Nation Unis ont vu leurs données fuitées par ce ou ces mêmes hackers. ([2])

OtterCookie

Si je vous dis Corée du Nord, la première chose qui vous vient à l’esprit c’est plutôt dictature, famine ou en retard sur le monde et certainement pas hacker.

Et pourtant la Corée du Nord est bien dans le game de la cybersécurité et a même construit ses propres malwares dont leur petit dernier : OtterCookie.

Et pour déployer ce malware, quoi de mieux qu’un peu d’ingénierie sociale visant les techos.

Tout commence par une petite annonce ou un recruteur vous contactant pour vous proposer un super poste mais suffisamment réaliste pour être crédible.

Comme tout processus de recrutement dans la tech, un test technique ou un entretien en visio vous est demandé et le piège commence déjà à se refermer.

Dans un cas comme dans l’autre, que ce soit en faisant votre npm Install, ou en installant l’application Electron de Visio conférence, un script JS est téléchargé en arrière-plan, ayant pour mission de lancer ensuite le script OtterCookie, s’enregistrant auprès du serveur en utilisant la librairie Socket.io en JS.

OtterCookie est donc, comme vous vous en doutez, un malware de command & control, permettant à un attaquant d’utiliser votre ordinateur à distance ensuite. Notez aussi qu’OtterCookie n’est pas le premier coup d’essai de la Corée du Nord, mais bien une évolution de plusieurs de leurs malwares précédents, toujours activement déployés. ([3])

Extensions

Qui parmi nous n’a pas au moins une extension installée sur son navigateur préféré ? Que ce soit des bloqueurs de pubs, des anti-crackers, des VPNs ou des outils de correction orthographiques, tout le monde en a quasiment pour sur une d’installé.

Pourtant, et un peu comme le QR Code, peu de gens soupçonnent le danger de ces petits éléments super discrets mais pas les hackers.

Aujourd’hui c’est plus de 25 extensions ciblant 2 millions d’utilisateurs qui ont été victimes d’une attaque visant à voler les données de ces utilisateurs.

Après avoir réussi à obtenir l’accès au code et au processus de déploiement en utilisant du spear phishing sur les devs, les attaquants ont publié du code malicieux visant à voler un maximum de données.

Les extensions ciblées sont majoritairement des outils de productivité, de GenAI ou des VPN dont voici la liste.

Alors si vous avez ces extensions, pensez à les retirer, à changer vos mots de passe et vérifier les informations sur vos comptes et en entreprise c’est aussi certainement le signe de faire un petit état des lieux sur tout cela et nous on se retrouve dans une de nos vidéos, dans l’une de nos formations ou sur nos réseaux sociaux, Salut ! ([4], [5])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !