Code malveillant caché dans un entretien d'embauche : les développeurs Web3 ciblés par une escroquerie de déploiement sur GitHub

Les chercheurs en sécurité de SlowMist ont découvert un stratagème sophistiqué où des escrocs se faisant passer pour une équipe Web3 basée en Ukraine utilisent de fausses entretiens d’embauche comme couverture pour distribuer des dépôts de code compromis. Lors d’un incident récent, un développeur a été invité à exécuter localement du code provenant d’un dépôt GitHub lors du processus d’entretien — une demande qui aurait pu être catastrophique.

Le mécanisme de l’attaque : ce qui se passe en coulisses

Lors de l’exécution, le dépôt apparemment légitime déploie une attaque en plusieurs étapes. La charge utile de la porte dérobée installe silencieusement des dépendances malveillantes, transformant l’environnement de développement de la victime en une passerelle pour le vol de données. Le malware cible spécifiquement :

• Données de stockage du navigateur : extensions Chrome et caches du navigateur contenant des fichiers de configuration sensibles
• Identifiants de portefeuille : clés privées, phrases de récupération et modèles mnémotechniques stockés localement
• Jetons d’authentification : données de session et identifiants API pouvant donner aux attaquants un accès aux comptes utilisateur

Une fois récoltées, toutes les informations volées sont exfiltrées vers le serveur de commande et de contrôle de l’attaquant, donnant aux mauvais acteurs un contrôle total sur les actifs numériques et comptes de la victime.

Pourquoi cette attaque fonctionne

L’entretien d’embauche crée une fausse impression de légitimité. Les développeurs se sentent motivés à démontrer leurs compétences et à prouver leur valeur à un employeur potentiel. En demandant l’exécution du code dans le cadre d’une « évaluation technique », les attaquants exploitent cette dynamique psychologique. Les cibles sont généralement des développeurs expérimentés — précisément ceux qui gèrent des phrases mnémotechniques et détiennent d’importantes quantités de cryptomonnaies.

Mesures de défense essentielles

Ne jamais exécuter de code provenant de sources non vérifiées, quel que soit le contexte ou la pression sociale. Avant d’exécuter un dépôt :

• Vérifiez indépendamment le site officiel de l’organisation et le profil LinkedIn
• Demandez des entretiens uniquement via des canaux de recrutement établis
• Auditez le code localement sans l’exécuter en premier
• Utilisez des machines virtuelles isolées pour tester un code inconnu
• Maintenez une séparation stricte entre votre environnement de développement et les portefeuilles contenant des clés sensibles

Cet incident illustre comment l’ingénierie sociale combinée à l’exploitation technique reste l’un des vecteurs d’attaque les plus efficaces en Web3. Rester vigilant et suivre ces étapes de vérification peut éviter des pertes dévastatrices.