● 01net 📅 19/04/2026 à 10:01

Un virus nord-coréen se cache dans la colonne vertébrale des cryptos

Géopolitique 👤 Florian Bayard
Illustration
© 01net avec Gemini Un nouveau malware s’est implanté dans la blockchain, la technologie au cœur des cryptomonnaies. Déployé par les pirates nord-coréens de Lazarus, le logiciel malveillant résiste à toute tentative de suppression. Un nouveau logiciel malveillant, baptisé Omnistealer, a été découvert sur des blockchains publiques, ces réseaux décentralisés au cœur du fonctionnement des cryptomonnaies. Traditionnellement, les hackers hébergent plutôt la charge utile, c’est-à-dire la partie du code qui exécute des instructions malveillantes, sur des serveurs ou des fichiers partagés. À lire aussi : Arnaque crypto sur l’App Store – cette fausse application Ledger a dépouillé des dizaines de personnes Pourquoi cacher un virus sur la blockchain ? Comme l’expliquent les chercheurs de Ransom-ISAC, le consortium international à l’origine de la découverte, Omnistealer se cache dans des transactions publiques sur des réseaux comme TRON, Aptos ou Binance Smart Chain. C’est au sein de ces transactions que les pirates dissimulent la charge utile du malware. Certains types de transactions blockchain autorisent l’ajout de petites quantités de données arbitraires, par exemple des notes, des métadonnées ou des paramètres de contrat intelligent. Les cybercriminels derrière Omnistealer en ont profité pour glisser du texte chiffré, des commandes ou même directement des morceaux de code malveillant. Ces éléments permettent au virus de reconstituer et de déclencher la charge finale au moment de la cyberattaque. En exploitant la blockchain, les pirates parviennent à rendre leur infrastructure particulièrement résiliente. En effet, une transaction ne peut pas être effacée de la blockchain, ce qui permet au malware de résister à d’éventuelles offensives des autorités ou de chercheurs en sécurité. Sur les réseaux décentralisés, il n’est pas possible de supprimer quoi que ce soit. Toutes les données dans le registre sont immuables. Ce mécanisme est pensé pour rendre les réseaux blockchain résistants à la censure. La blockchain rend les opérations criminelles très difficiles à contrecarrer. S’il est possible de signaler un dépôt malveillant, de faire fermer un serveur, de retirer un fichier d’un service de stockage ou de faire disparaître un dépôt GitHub, il est impossible de faire de même avec une blockchain. Les chercheurs de MalwareBytes, qui relaient la découverte d’Omnistealer, soulignent qu’on « peut révoquer des domaines et supprimer des dépôts GitHub, mais on ne peut pas annuler les modifications apportées » à des réseaux comme Tron ou la Binance Smart Chain. Sur le papier, il est théoriquement envisageable d’effacer des données dans une transaction, mais vous devez obtenir l’accord de plus de la moitié des validateurs du registre. C’est ce qu’on appelle une attaque 51 %. C’est très difficile à réussir car il faut contrôler plus de 50% de la puissance de calcul totale du réseau. Bref, les pirates se retranchent efficacement derrière les caractéristiques techniques de la chaîne de blocs. Pour MalwareBytes, les criminels transforment « les registres publics en une infrastructure de commandement et de contrôle résiliente et résistante à la censure, que les défenseurs ne peuvent pas simplement démanteler ». À lire aussi : les hackers nord-coréens ont fait une nouvelle victime dans le monde des cryptos Une tactique qui fait son grand retour Ce n’est pas la première fois qu’un virus se cache dans le cœur de la blockchain. L’an dernier, des pirates nord-coréens, connus sous le nom de code UNC5342, avaient dissimulé le code de leurs logiciels malveillants dans des contrats intelligents (smart contracts) sur la blockchain Ethereum ou sur la Binance Smart Chain. Très répandus dans l’univers de la finance décentralisée, les contrats intelligents sont des programmes automatisés qui exécutent directement des actions sur une blockchain. Il s’agissait alors d’une tactique inédite, mais il semble que celle-ci a fini par donner des idées à d’autres groupes criminels. Notez que d’ailleurs les enquêteurs du FBI ont pu retracer les activités d’Omnistealer jusqu’à un autre gang de pirates nord-coréen, le très connu Lazarus. Financés par la Corée du Nord, les pirates ont l’habitude de s’attaquer à des plateformes crypto, et sont passés maîtres dans l’art d’exploiter les technologies blockchain. On ne s’étonnera donc pas que Lazarus ait eu l’idée de cacher du code malveillant dans des transactions sur la blockchain. Un pillage de données Les investigations des chercheurs de Ransom-ISAC, accompagnés des experts de Crystal Intelligence, montrent qu’Omnistealer est surtout taillé pour le vol de données. Le malware cible plus d’une dizaine de gestionnaires de mots de passe tels que LastPass, les principaux navigateurs du marché, comme Chrome et Firefox, des comptes de stockage en ligne (Google Drive), ainsi que plus de 60 portefeuilles crypto basés sur des extensions de navigateur (MetaMask, Coinbase). Comme tous les malwares de type infostealer, le virus cherche à aspirer tout ce qu’il peut sur l’appareil qu’il a infecté. Il vise surtout des identifiants, des mots de passe, des cookies, des clés privées ou encore des jetons d’accès. Selon les investigations de Ransom-ISAC, plus de 300 000 identifiants ont potentiellement été compromis. Des secteurs très variés, y compris la finance, la logistique, l’industrie, le divertissement pour adultes, la livraison de repas, et même certaines entités gouvernementales, se sont retrouvés dans le viseur des cybercriminels. Pour arriver à leurs fins, les pirates se servent de fausses offres pour des jobs de développement sur LinkedIn ou Upwork. Les pirates poussent leurs interlocuteurs à télécharger un dépôt GitHub piégé, qui se connecte ensuite à la blockchain pour activer le malware. Celui-ci va ensuite siphonner toutes les informations qu’il trouve. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : MalwareBytes Blockchainmalwarevol de données Florian Bayard Sur le même sujet Un PDF suffit à pirater votre PC avec Acrobat Reader, Adobe réagit… 4 mois plus tard Cyberattaques russes contre l’iPhone : de nouveaux pirates exploitent le kit DarkSword Cyberattaque en chaîne : comment un virus a piégé des milliers de développeurs La Russie arrête le créateur d’un des plus grands marchés noirs de données volées Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Un virus nord-coréen se cache dans la colonne vertébrale des cryptos 1 500 km en Audi A6 e-tron Avant : cette voiture électrique nous a obligés à changer notre score d’autonomie Comment changer ses DNS sur macOS ? Une arnaque Booking tente de vous piéger juste après une réservation, le timing est redoutable Rachat de SFR : faut-il craindre une hausse des prix des abonnements ? Concert de Céline Dion : pouvez-vous réclamer des dommages et intérêts si vous avez payé trop cher ? Bouygues : les nouveaux forfaits mobiles BIG sont là avec des prix encore plus bas L’Europe veut ouvrir la boîte noire de Google à ses concurrents, le DMA est là pour ça Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour