🗓️ Contexte

Article publié le 23 avril 2026 par The Register (Jessica Lyons), relatant le témoignage exclusif de Boris Vujičić, développeur web basé en Serbie, victime d’une arnaque à l’emploi hautement sophistiquée attribuée à des acteurs liés au gouvernement nord-coréen.

🎭 Déroulement de l’attaque

L’attaque a débuté par un message LinkedIn d’un faux recruteur prétendant représenter une entreprise blockchain fictive nommée Genusix Labs. L’infrastructure de la campagne comprenait :

  • Un site web d’apparence légitime avec photos de l’équipe dirigeante
  • Un profil LinkedIn cohérent
  • Des interviews Zoom caméra activée avec des personnages convaincants (dont une RH nommée Zam Villalon)
  • Des ingénieurs fictifs correspondant aux photos du site

Lors du second entretien technique, les attaquants ont proposé un test de codage en direct via un dépôt GitHub. Après avoir rassuré la victime (« Feel free to look for backdoors »), ils l’ont amenée à exécuter le code.

💻 Mécanisme technique

Une fois le code exécuté, une popup macOS est apparue : patch.sh wants to run as a background process. Le malware était dissimulé dans une dépendance de dépendance du projet. Le script malveillant :

  • Détecte l’architecture CPU et télécharge le payload adapté
  • Se configure en persistance au démarrage
  • Dépose un backdoor écrit en Go utilisant un protocole custom chiffré RC4

Capacités du backdoor :

  • Exécution de commandes shell
  • Vol de fichiers
  • Extraction des mots de passe Chrome
  • Exfiltration du Keychain macOS
  • Ciblage des wallets crypto

📊 Impact

En 56 secondes avant la coupure du Wi-Fi par la victime :

  • 634 mots de passe Chrome exfiltrés
  • Keychain macOS exfiltré
  • Données MetaMask exfiltrées
  • Aucune crypto volée (intervention rapide)

🔗 Attribution

La firme de blockchain intelligence zeroShadow (précédemment impliquée dans l’investigation de la compromission de Step Finance ayant entraîné un vol de 40 millions de dollars) attribue cette campagne à des acteurs liés au gouvernement nord-coréen, sur la base de similarités de code et de tactiques avec l’incident Step Finance.

📌 Type d’article

Rapport d’incident basé sur témoignage exclusif, visant à documenter une campagne d’ingénierie sociale sophistiquée ciblant les développeurs du secteur crypto.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027.001 — Obfuscated Files or Information: Binary Padding (Defense Evasion)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1071 — Application Layer Protocol (Command and Control)

IOC

  • Fichiers : patch.sh
  • Fichiers : camdriver.sh

Malware / Outils

  • camdriver.sh (loader)
  • patch.sh (loader)
  • Go backdoor (RC4) (backdoor)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 8477 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Lazarus Group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/23/job_scam_targeted_developer/