Une recruteuse avenante, un projet séduisant, une rémunération très alléchante… comme autant de signaux d’alerte, pour une offre d’emploi bien trop belle pour être vraie ?

« Une certaine Allison m’a contacté sur LinkedIn, comme j’étais en ligne, nous avons engagé la conversation, elle m’a dit que mon expérience et mon parcours collait bien au projet pour lequel elle recrutait. Elle m’a envoyé les spécifications, je lui ai dit que ça m’intéressait », raconte à Next David Barbier, développeur Web indépendant.

Méfiance face aux offres alléchantes

Dans cette conversation, que nous avons pu consulter, la recruteuse explique constituer une équipe pour une place de marché dédié à l’art, sous l’égide d’un célèbre musée londonien, la Tate Modern. La rémunération proposée est en dollars – et non en livre sterling, mais elle semble attractive, tout comme les conditions de travail. « Je lui ai dit que je travaillais en freelance, ça ne posait aucun problème », ajoute David Barbier.

Arrive la date de l’entretien téléphonique programmé, après un premier rendez-vous manqué. L’organisateur de l’appel, qui n’utilise pas de webcam pour son recrutement, raconte qu’il est responsable du développement chez une agence chargée du projet, et demande au candidat de cloner un projet hébergé sur Bitbucket pour procéder à son évaluation technique.

« À ce stade, il y a déjà cinquante drapeaux rouges qui sont allumés. Je clone le projet mais je ne le lance pas, je lui dis que je ne peux pas faire confiance à ce code et le lancer directement sur ma machine en dehors d’une machine virtuelle. Là, le type se déconnecte immédiatement de l’appel », nous décrit David Barbier.

Partagée samedi sur X, sa mésaventure fait émerger d’autres témoignages de développeurs Web, eux aussi victimes d’une approche similaire. Même topo sur LinkedIn, où plusieurs développeurs qui gravitent autour de la blockchain, de la finance décentralisée ou des NFT et des projets relevant de la mouvance Web3 indiquent avoir reçu ce genre de sollicitations.

Un repo peut en cacher un autre

Fin septembre, l’éditeur spécialisé IARD Solutions décrivait le procédé dans billet de blog : un premier point de contact via LinkedIn ou une plateforme dédiée aux freelances de type Upwork, beaucoup d’enthousiasme quant au profil du développeur. Puis une demande de test technique, basée sur un projet présenté comme en bêta et partagé au moyen d’un repo de type Github, parfaitement propre au premier abord.

En étudiant le repo utilisé par son supposé recruteur avec IARD Solutions, David Barbier identifie l’arnaque. « En fait, ils utilisent deux repo identiques. Et dans le deuxième, il y a du code obfusqué qui fait exactement ce qu'on pensait : récupération d'info de wallet, installation de virus, etc. », nous précise-t-il encore.

Une fois démasqué, le code, que nous avons également consulté, se révèle en effet particulièrement explicite, avec collecte d’informations de connexion au niveau du navigateur, recherche d’extensions liées aux cryptomonnaies, téléchargement de fichiers et envoi de données vers un serveur distant.

L’ombre de Lazarus

Les témoignages directs sur les réseaux sociaux et nos quelques recherches, basées sur des similitudes, laissent entendre que ces tentatives d’arnaque ne sont pas isolées. Or le code source utilisé pour l’attaque dirige ses informations vers une adresse IP qui a déjà été référencée par des experts en cybersécurité comme ayant été utilisée par le groupe Lazarus, notamment dans le cadre d’arnaques au recrutement.

Prétendument dirigé par la Corée du Nord, ce groupe de hackers cible notamment l’univers des cryptomonnaies et, par extension, les projets assimilés au Web3. Depuis quelques jours, on soupçonne par exemple le groupe Lazarus de s’être appuyé sur le vol et la diffusion d’un jeu vidéo de type MOBA, associé à une brique de finance décentralisée (DeFi), pour exploiter une faille 0-day tout juste découverte au sein du navigateur Chrome.

Dans le domaine du recrutement, Lazarus serait allé jusqu’à créer de faux sites dédiés aux projets proposés par ses « recruteurs ». « Le groupe a posté des offres d’emploi ou de projets de recherche en rapport avec les cryptomonnaies sur de multiples plateformes incluant LinkedIn, X, Facebook, GitHub ou Stack Overflow pour identifier ses cibles potentielles », affirme ainsi la société spécialisée Threatbook CTI, selon qui les attaquants multiplieraient non seulement les annonces, mais aussi les vecteurs d’attaque. « Leur arsenal inclut des chevaux de Troie développés sur la plateforme QT6, ainsi que des malwares basés sur Python ou JavaScript ».

La vigilance reste de mise

« Tout portait à croire que c’était un scam, tout n’était pas cohérent, mais à première vue, on n’avait rien remarqué de suspect dans le repo », analyse David Barbier qui, sur X, appelle ses homologues à ne jamais exécuter de code provenant d’une source douteuse hors d’une machine virtuelle.

Leçon de l’histoire ? De la même façon qu’il convient de se méfier des mails émanant d’un lointain cousin milliardaire, la vigilance est de mise dans le recrutement, à plus forte raison via les plateformes.