L’article publié par Huntress le 18 juin 2025, expose une intrusion sophistiquée menée par le groupe APT nord-coréen BlueNoroff, également connu sous plusieurs autres noms tels que Sapphire Sleet et STARDUST CHOLLIMA. Ce groupe est connu pour cibler les cryptomonnaies depuis 2017.
L’attaque a débuté par un message envoyé via Telegram à un employé d’une fondation de cryptomonnaie, incluant un lien Calendly redirigeant vers un faux domaine Zoom. Lors d’une réunion Zoom truquée, l’employé a été incité à télécharger une fausse extension Zoom, qui était en réalité un script malveillant.
Le script malveillant, un AppleScript, a permis de désactiver l’historique de bash, d’installer Rosetta 2, et de télécharger un payload malveillant. Plusieurs binaries malveillants ont été identifiés, incluant des keyloggers, des infostealers ciblant les cryptomonnaies, et des backdoors.
L’article est un rapport d’incident détaillé visant à fournir une analyse technique complète de l’attaque, ses méthodes, et les outils utilisés par les attaquants, soulignant l’importance de la vigilance face aux menaces ciblant macOS et les cryptomonnaies.
🔗 Source originale : https://www.huntress.com/blog/inside-bluenoroff-web3-intrusion-analysis