Fake job recruiters hide malware in developer coding challenges

2 minute de lecture

Mis à jour : February 14, 2026

Ingénierie Sociale et Malware : L’Appât des Fausses Offres d’Emploi

Une campagne malveillante orchestrée par des acteurs nord-coréens cible les développeurs JavaScript et Python, exploitant de fausses offres d’emploi dans le secteur de la cryptomonnaie. L’objectif est d’inciter les candidats à exécuter du code qui installe un cheval de Troie d’accès à distance (RAT).

Points Clés:

Technique: Création de fausses entreprises et publication d’offres d’emploi sur des plateformes comme LinkedIn, Facebook et Reddit. Les candidats sont invités à réaliser des défis de codage pour prouver leurs compétences.
Vecteur d’Infection: Les développeurs sont amenés à exécuter des projets contenant des dépendances malveillantes, publiées sur des registres de packages légitimes tels que npm et PyPi.
Charge Utile: Un RAT est installé, permettant l’énumération des processus, l’exécution de commandes à distance, l’exfiltration de fichiers et le déploiement de charges utiles supplémentaires.
Ciblage Spécifique: La présence de l’extension MetaMask dans le navigateur de la victime est vérifiée, confirmant l’intention de vol de cryptomonnaie.
Attribution: La campagne, baptisée “Graphalgo”, est attribuée au groupe Lazarus, basé sur l’approche, le ciblage et l’utilisation du fuseau horaire GMT+9 dans les commits Git.
Modularityité: La nature modulaire des malwares permet aux attaquants de reprendre rapidement leurs activités même en cas de compromission partielle.
Évolution: La campagne a débuté en ciblant des packages avec “graph” dans leur nom, puis a évolué vers des packages avec “big” dans leur nom.

Vulnérabilités:

Bien que l’article ne mentionne pas de CVE spécifiques, la vulnérabilité réside dans la confiance accordée aux sources externes et la pratique courante d’inclure des dépendances dans les projets de développement.

Recommandations:

Vérification Rigoureuse des Dépendances: Examiner attentivement les sources et la réputation des packages avant de les intégrer dans des projets.
Prudence avec les Offres d’Emploi Non Sollicitées: Faire preuve d’un scepticisme accru face aux offres d’emploi qui semblent trop belles pour être vraies, surtout celles demandant l’exécution de code ou la participation à des tests techniques non conventionnels.
Isolation des Environnements de Développement: Utiliser des environnements de développement isolés ou des conteneurs pour tester du code provenant de sources inconnues.
Rotation des Identifiants: Les développeurs ayant potentiellement installé des packages malveillants devraient immédiatement réinitialiser tous les jetons et mots de passe des comptes et envisager une réinstallation complète du système d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Fake job recruiters hide malware in developer coding challenges

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)