Imaginez que vous jouez tranquillement à un nouveau jeu NFT quand soudain, sans même vous en rendre compte, toutes vos cryptomonnaies disparaissent de votre wallet. C’est précisément ce qui est arrivé aux victimes du dernier hack du tristement célèbre groupe Lazarus, ces pirates informatiques liés à la Corée du Nord. Leur nouvelle cible : les joueurs de NFT, via une faille 0-day de Google Chrome. Kaspersky, le géant de la cybersécurité, nous en dit plus sur ce hack hors du commun.
Un Faux Jeu MOBA comme Cheval de Troie
Le premier élément clé de cette attaque réside dans la création d’un faux jeu MOBA (arène de bataille en ligne multijoueur) basé sur les NFTs, nommé Detankzone, servant d’appât pour attirer les victimes. Pour donner l’illusion d’un vrai projet, les hackers ont même créé un site web dédié proposant de télécharger une version bêta du jeu.
Mais après analyse du code du jeu, les chercheurs de Kaspersky ont eu une grande surprise :
Après de nombreuses manœuvres, nous avons pu nous connecter au jeu et jouer avec les tanks ! Oui, il s’agit d’un vrai jeu !
Le jeu en lui-même ne contenait donc aucun malware. En réalité, le code source a été volé à un autre projet nommé DeFiTankLand (DFTL). Lazarus s’est contenté de lancer une campagne promotionnelle en février 2024 autour d’une version modifiée du jeu.
La Vraie Menace : Une Faille 0-Day de Google Chrome
Si le jeu en lui-même est inoffensif, la véritable attaque se déroule sur le site web qui l’héberge. En exploitant une vulnérabilité jusqu’alors inconnue (0-day) de Google Chrome, un script malveillant s’exécutait discrètement à chaque visite du site, sans que l’utilisateur ne s’en aperçoive.
Cette faille permettait de contourner les protections du navigateur pour injecter et exécuter du code arbitraire sur l’ordinateur de la victime. Les hackers avaient alors tout loisir de mettre la main sur les wallets cryptos stockés localement et de dérober les fonds.
Heureusement, une fois la faille découverte, Google a rapidement déployé un correctif. Mais le mal était déjà fait pour de nombreuses victimes.
BlueNoroff, le Redoutable Sous-Groupe de Lazarus
Derrière cette attaque se cache en réalité BlueNoroff, un sous-groupe de Lazarus également sponsorisé par le régime nord-coréen. Leur stratégie semble évoluer puisque jusqu’à présent, leurs cibles privilégiées étaient plutôt les exchanges et protocoles DeFi, ou dans une moindre mesure des whales crypto, mais rarement les utilisateurs lambda.
Avec ce hack à grande échelle exploitant habilement une faille majeure d’un navigateur massivement utilisé comme Google Chrome, combinée à l’appât que représentent les NFT, BlueNoroff/Lazarus démontre une fois de plus sa capacité à s’adapter et innover dans ses tactiques de piratage pour dérober toujours plus de cryptomonnaies.
Quelles Leçons En Tirer ?
En tant qu’utilisateur de cryptomonnaies, voici quelques conseils pour vous prémunir de ce type d’attaque :
- Méfiez-vous des nouveaux projets NFT/crypto sortis de nulle part, surtout s’ils sont trop beaux pour être vrais
- Gardez vos cryptos sur des wallets froids (hors-ligne) quand vous n’en avez pas besoin
- Segmentez vos avoirs sur différents wallets/adresses pour limiter les pertes en cas de hack
- Utilisez un navigateur dédié et sécurisé pour tout ce qui touche aux cryptos
- Faites régulièrement les mises à jour de sécurité sur tous vos appareils
Bien que les pertes soient malheureusement irrécupérables pour les victimes de ce hack en particulier, gageons que la vigilance de la communauté crypto permettra d’éviter à l’avenir que de tels scénarios ne se reproduisent. Les acteurs majeurs comme Google ont également un rôle crucial à jouer pour colmater au plus vite les brèches de sécurité dans leurs outils.
La menace représentée par des groupes comme Lazarus devient de plus en plus prégnante au fur et à mesure que les cryptomonnaies gagnent en popularité. Il est impératif de renforcer collectivement la sécurité de l’écosystème pour que celui-ci puisse continuer à se développer sainement. Chacun à notre niveau, restons vigilants !
