Le tristement célèbre groupe Lazarus, soutenu par l’État nord-coréen, mène actuellement une offensive d’envergure visant la communauté des développeurs, selon un récent rapport publié par la société SecurityScorecard. Cette opération, baptisée « Opération 99 », aurait été détectée le 9 janvier dernier et poursuit un objectif clair : dérober des informations sensibles au sein des environnements de développement, notamment des fragments de code, des secrets de configuration ou encore des clés de portefeuilles de cryptomonnaies.
Une évolution tactique significative
Contrairement aux campagnes plus générales de phishing autrefois menées par Lazarus, cette nouvelle attaque cible précisément les professionnels du développement, piliers de la chaîne d’approvisionnement technologique. Les chercheurs soulignent également l’amélioration des logiciels malveillants utilisés : ces derniers bénéficient désormais de capacités de dissimulation renforcées et d’une adaptabilité accrue. L’infrastructure déployée permet à l’assaillant d’ajuster le code malveillant aux plateformes visées, qu’il s’agisse de Windows, macOS ou Linux, élargissant considérablement le champ d’action et les possibilités d’infection.
Développeurs indépendants dans la ligne de mire
Une particularité marquante de cette campagne tient au ciblage explicite des développeurs à la recherche de missions en freelance dans l’univers des cryptomonnaies. Les cybercriminels se font passer pour des recruteurs publiant de fausses offres sur des plateformes professionnelles telles que LinkedIn. Les victimes reçoivent alors un accès à un dépôt GitHub piégé, intitulé « coin promoting Webapp », contenant du code malveillant camouflé dans des sections censées être anodines. Une fois ce code exécuté, la victime autorise malgré elle la connexion vers des serveurs de commande et de contrôle (C2) hébergés par le prestataire Stark Industries Solutions Ltd. Les différentes charges utiles, compressées et obscurcies, sont ensuite transférées et activées en plusieurs étapes, compromettant l’ensemble du dispositif de développement de la cible.
Un arsenal multiple et redoutable
Les logiciels malveillants employés dans cette opération se caractérisent par une architecture modulaire et une capacité à se déployer en plusieurs phases. Les experts ont notamment identifié :
- Main99, un téléchargeur permettant de contacter les serveurs C2 pour récupérer d’autres composants.
- Payload99/73, conçu pour l’enregistrement des frappes clavier, la surveillance du presse-papiers et le vol de fichiers.
- Brow99/73, un module spécifiquement développé pour exfiltrer les identifiants stockés dans les navigateurs et divers gestionnaires de mots de passe.
- MCLIP, un outil dédié à la détection et à la capture du moindre contenu saisi ou copié par l’utilisateur.
En s’introduisant au sein même des processus de développement, le groupe Lazarus peut ainsi compromettre non seulement les données personnelles de l’individu visé, mais aussi l’intégrité des projets et des systèmes auxquels il contribue.
Recommandations pour les développeurs et les entreprises
SecurityScorecard rappelle que l’écosystème du développement, recélant un patrimoine intellectuel et financier précieux, reste particulièrement exposé à ce type d’attaques. Pour s’en prémunir, plusieurs bonnes pratiques sont à privilégier :
- Vérifier soigneusement les dépôts Git avant tout clonage, en étudiant l’historique et la provenance du code.
- Installer des solutions de sécurité avancées sur les postes de travail, capables de détecter des comportements suspects et d’analyser les scripts en temps réel.
- S’assurer de la légitimité des recruteurs et offres d’emploi rencontrés sur des plateformes comme LinkedIn, au besoin en validant leur profil et leurs références.
- Sensibiliser les équipes de développement aux tactiques d’ingénierie sociale et de phishing, afin de repérer toute anomalie dans les e-mails ou les dépôts.
En définitive, la multiplication de ces menaces souligne l’impératif d’une vigilance sans relâche et d’une protection adaptée pour tous les professionnels impliqués dans la conception d’outils technologiques. Face à un environnement en constante évolution, la sécurité doit s’envisager comme un investissement stratégique et non comme un simple poste de dépense.
