Omnistealer : un malware nord-coréen persistant dans la blockchain vole 300 000 credentials

🗞️ Contexte

Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale.

🎯 Description de l’attaque

La chaîne d’attaque repose sur plusieurs étapes :

• Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud)
• Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés
• Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final
• Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer

🦠 Malware : Omnistealer

Le malware baptisé Omnistealer est compatible avec :

• Plus de 60 extensions de wallets crypto (MetaMask, Coinbase…)
• Plus de 10 gestionnaires de mots de passe (LastPass…)
• Plus de 10 navigateurs web (Chrome, Firefox…)
• Des services de stockage cloud (Google Drive…)

Il vole indistinctement credentials personnels et corporatifs, accès à des systèmes d’information, et cryptomonnaies.

📊 Impact

• ~300 000 credentials volés à ce jour, considérés comme la partie visible de l’iceberg
• Organisations compromises : firmes de cybersécurité, entreprises de défense, entités gouvernementales (US, Bangladesh), fournisseur agréé de Lockheed Martin, firme indienne de guerre électronique, entreprise d’IA
• Des adresses email liées à des domaines militaires américains et des adresses en .gov ont été exposées

🕵️ Attribution

Les enquêteurs de Ransom-ISAC et TRM Labs attribuent la campagne à des acteurs nord-coréens (DPRK) :

• Chevauchement d’infrastructure avec Contagious Interview (fausses offres d’emploi)
• Wallets crypto liés à Lazarus Group et au vol de 1,5 milliard USD sur Bybit (février 2025)
• Adresses IP associées à l’ancien consulat américain de Vladivostok, précédemment liées à des acteurs nord-coréens
• Le FBI confirme être « au courant » de l’utilisation par la DPRK de tactiques d’ingénierie sociale ciblant les développeurs blockchain

🔍 Éléments additionnels

Des fichiers cachés (radiographie thoracique, document sur la propulsion de fusées) ont été découverts dans les transactions blockchain, suggérant des tests de dissimulation de données ou l’usage de canaux de communication clandestins (comparés à des « stations numbers »).

📌 Type d’article

Article de presse spécialisée à visée informative, présentant les résultats d’une enquête CTI menée par Ransom-ISAC et Crystal Intelligence sur une campagne active d’espionnage/vol de credentials attribuée à la Corée du Nord.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Contagious Interview (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Lazarus Group (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566.003 — Phishing: Spearphishing via Service (Initial Access)
• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1102 — Web Service (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1555 — Credentials from Password Stores (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
• T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
• T1657 — Financial Theft (Impact)

Malware / Outils

• Omnistealer (stealer)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ pcmag.com — source non référencée (0pts)
• ✅ 19277 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Contagious Interview, Lazarus Group (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.pcmag.com/news/this-new-malware-lives-on-the-blockchain-and-cant-ever-be-deleted-heres