DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 12 incidents majeurs au 9 juillet 2026
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 11 actus clés du 8 juillet 2026
  • Illustration de dcod.ch pour l'article "Le premier ransomware autonome piloté par une IA passe à l'action". Le visuel présente un écran divisé en diagonale avec des lignes de code informatique à gauche et un pirate informatique encapuchonné au milieu de données numériques à droite, symbolisant l'attaque de l'agent JadePuffer
    Le premier ransomware autonome piloté par une IA passe à l’action
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 14 incidents majeurs du 7 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes
  • À la une

Recrutement IT : comment Lazarus piège et pille les développeurs

  • Marc Barbezat
  • 17 février 2026
  • 4 minutes de lecture
Illustration montrant le drapeau de la Corée du Nord avec l'inscription manuscrite « NOW HIRING ! » et une chaise vide, symbolisant les fausses offres d'emploi du groupe Lazarus.
Le groupe Lazarus détourne les offres d’emploi pour infecter les PC des développeurs. Découvrez les dessous de cette cyberattaque ciblant les experts crypto.

TL;DR : L’essentiel

  • Des pirates nord-coréens créent de fausses entreprises comme Veltrix Capital pour piéger des informaticiens sur LinkedIn. Ils proposent des salaires attractifs dans la blockchain pour mieux endormir leur vigilance.
  • Le piège se referme lors d’un test technique. En demandant au candidat de corriger un bug, les attaquants le forcent à installer un programme malveillant caché dans les bibliothèques officielles.
  • Le virus installé, un cheval de Troie, fouille l’ordinateur à la recherche de portefeuilles de cryptomonnaies. Il vérifie notamment si l’extension MetaMask est active pour vider les comptes de la victime.
  • Les pirates font preuve d’une grande patience. Certains programmes infectés sont restés sains pendant un mois complet, accumulant 10000 téléchargements légitimes avant de libérer leur charge virale de manière brutale.
▾ Sommaire
TL;DR : L’essentielVeltrix Capital : l’art de créer un employeur imaginaire par LazarusUn code empoisonné caché dans les outils du quotidienMetaMask : la cible ultime derrière l’écran

Le secteur technologique assiste à une évolution majeure des méthodes de piratage étatique. Plutôt que de forcer les portes des entreprises, les cyber-espions nord-coréens de Lazarus préfèrent désormais passer par la petite porte : celle du recrutement. Comme le révèle BleepingComputer, cette nouvelle vague d’attaques, baptisée Graphalgo, cible spécifiquement les développeurs travaillant sur les langages Python et JavaScript. L’objectif est double : infiltrer des infrastructures critiques et dérober des fonds en cryptomonnaies en exploitant la confiance naturelle entre un candidat et un recruteur potentiel.

Veltrix Capital : l’art de créer un employeur imaginaire par Lazarus

Pour piéger leurs victimes, les attaquants de Lazarus ne se contentent pas d’un simple e-mail. Ils bâtissent de véritables entreprises fantômes. L’exemple le plus frappant est celui de Veltrix Capital. Selon les recherches de ReversingLabs, cette firme disposait d’un site web complet présentant une vision et une mission crédibles, bien qu’aucune identité de dirigeant n’y figurait. Les pirates sont allés jusqu’à créer des pages sur LinkedIn et des annonces sur Reddit pour diffuser leurs offres. Pour un développeur en quête de nouveaux défis, tout semble professionnel et légitime, du discours commercial jusqu’aux premiers échanges avec des recruteurs dont le comportement imite à la perfection celui de vrais chasseurs de têtes.

Le cœur du piège repose sur un test technique, une étape standard dans le recrutement informatique. Le candidat reçoit un lien vers un projet sur GitHub, une plateforme de partage de code. On lui demande alors de « faire tourner le projet, le déboguer et l’améliorer ». C’est à cet instant précis que la cyberattaque se déclenche. En lançant l’installation, le développeur télécharge sans le savoir des « dépendances » empoisonnées. Ce sont des morceaux de code supplémentaires nécessaires au projet, mais ici, ils contiennent un virus. Les pirates utilisent des noms très proches de bibliothèques réelles, comme « graphnetworkx », pour que le candidat ne remarque aucune anomalie visuelle dans les fichiers de configuration qu’il parcourt.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Un code empoisonné caché dans les outils du quotidien

La force de cette campagne de Lazarus réside dans l’utilisation de serveurs de confiance. Les pirates hébergent leurs virus sur npm et PyPI, les deux plus grands répertoires mondiaux de code pour JavaScript et Python. Ils ont ainsi publié 192 paquets malveillants. Pour ne pas éveiller les soupçons, ils pratiquent l’art de la patience. Un outil nommé « bigmathutils » est resté totalement inoffensif durant un mois entier sur ces plateformes. Ce n’est qu’après avoir été téléchargé par 10000 utilisateurs que les attaquants ont publié la version 1.1.0, laquelle contenait la charge virale. Une fois le code malveillant activé, les pirates ont marqué le programme comme obsolète pour disparaître des radars aussi vite qu’ils étaient apparus.

Techniquement, l’attaque installe un « cheval de Troie à accès distant », ou RAT. Ce logiciel espion donne aux pirates le contrôle total de l’ordinateur de la victime. Dans le détail, le RAT est capable de scanner tous les programmes en cours d’exécution et d’exécuter n’importe quel ordre envoyé par les attaquants depuis leurs propres serveurs. Ces serveurs utilisent un système de « jetons de protection » pour s’assurer que seuls les pirates peuvent communiquer avec le virus, verrouillant ainsi l’accès aux experts en sécurité qui tenteraient d’analyser le trafic. Les pirates peuvent alors fouiller les dossiers personnels, copier des fichiers ou installer d’autres logiciels malveillants selon leurs besoins.

MetaMask : la cible ultime derrière l’écran

Le groupe Lazarus ne cache pas ses ambitions financières. Le virus installé sur l’ordinateur du développeur effectue une vérification très spécifique : il regarde si l’extension MetaMask est installée sur le navigateur internet. MetaMask est l’un des outils les plus populaires pour gérer des portefeuilles de cryptomonnaies. Si le virus le trouve, les pirates savent qu’ils ont une opportunité de vol direct. Ils peuvent alors tenter de récupérer les clés d’accès ou d’intercepter des transactions pour vider les comptes numériques de leur victime. Cette traque visuelle des portefeuilles virtuels est la signature technique du régime nord-coréen, qui cherche par tous les moyens à contourner les sanctions internationales pour financer ses activités.

Les preuves de l’implication de Lazarus et de la Corée du Nord sont nombreuses et précises. Au-delà des méthodes de recrutement déjà utilisées par le passé, les experts ont relevé que les modifications de code sur GitHub étaient effectuées sur le fuseau horaire GMT+9, qui correspond exactement à celui de Pyongyang. Pour les développeurs qui ont eu le malheur d’installer ces projets de test, la seule solution est radicale. Il ne suffit pas de supprimer le dossier du test technique. Il est impératif de formater l’ordinateur, de réinstaller le système et de changer tous les mots de passe de tous les comptes personnels et professionnels, car le virus a pu copier l’intégralité de leurs accès numériques durant sa période d’activité.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • blockchain
  • Corée du Nord
  • crypto
  • cybersécurité
  • développeur
  • Lazarus
  • malware
  • recrutement
  • social engineering
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
Lire l'article

Five Eyes : l’alliance alerte sur les menaces cyber de l’IA

Graphisme DCOD scindé en diagonale : à gauche, un bouclier de sécurité vert lumineux sur fond de code binaire ; à droite, un paysage de campagne helvétique sous un filtre rouge arborant la croix blanche suisse. Ce visuel illustre le fait que l'OFCS teste son modèle de cyberrésilience en conditions réelles.
Lire l'article

L’OFCS teste son modèle de cyberrésilience en conditions réelles

Des idées de lecture recommandées par DCOD

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois