FAMOUS CHOLLIMA abuse Google Docs pour des leurres d'emploi et le recrutement de facilitateurs

🌐 Contexte Article de recherche publié le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indépendant en cybersécurité. L’article documente l’utilisation de Google Docs par l’acteur FAMOUS CHOLLIMA (nexus RPDC) pour mener deux campagnes distinctes mais liées. 🎯 Campagnes identifiées FAMOUS CHOLLIMA opère deux campagnes thématiquement similaires : Contagious Interview (aka DevPopper) : fausses offres d’emploi ciblant des développeurs, avec des tâches de codage hébergées sur Bitbucket/GitHub menant à une chaîne d’infection multi-étapes déployant des infostealers (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies. IT Worker scheme (aka WageMole) : recrutement de « proxy interviewees », des personnes conduisant des entretiens d’embauche à la place d’opérateurs FAMOUS CHOLLIMA pour faciliter l’infiltration d’entreprises. 🔗 Preuve de réutilisation d’actifs entre campagnes Un élément clé de l’analyse est la réutilisation d’une image bannière non-standard (hash de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b) entre : ...

21 juin 2026 · 3 min

Void Dokkaebi migre InvisibleFerret vers des binaires Cython pour contourner les détections

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

31 mai 2026 · 4 min

Lazarus Group cache un loader malveillant dans des Git hooks pour cibler les développeurs

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

8 mai 2026 · 3 min

HexagonalRodent : le sous-groupe DPRK qui industrialise le vol de crypto via l'IA

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

22 avril 2026 · 4 min

338+ paquets npm malveillants liés à une opération nord-coréenne ciblant les devs Web3

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

13 octobre 2025 · 2 min
Dernière mise à jour le: 19 juillet 2026 📝