Des Hackers Exploitent le Capital Radiant avec des Malwares, 50M$ Volés lors du Cambriolage

Un PDF infesté de logiciels malveillants, envoyé aux ingénieurs de Radiant Capital, a permis à des pirates informatiques nord-coréens de dérober plus de 50 millions de dollars.

Dans un récent rapport de suivi sur la violation, Radiant, assisté par Mandiant, a révélé des détails supplémentaires. Le 11 septembre 2024, un développeur de Radiant a reçu un message Telegram d’un ancien sous-traitant usurpant une identité.

Le message, prétendument d’un ancien contractant, incluait un lien vers un PDF compressé. Soi-disant lié à un nouveau projet d’audit de contrats intelligents, le document sollicitait des retours professionnels.

Le domaine associé au fichier ZIP imitait de manière convaincante le site web légitime du contractant, et la demande semblait routinière dans les milieux professionnels. Les développeurs échangent fréquemment des PDF pour des tâches telles que des revues juridiques ou des audits techniques, réduisant ainsi les suspicions initiales.

Faisant confiance à la source, le destinataire a partagé le fichier avec ses collègues, mettant sans le savoir la scène pour le vol cybernétique.

À l’insu de l’équipe Radiant, le fichier ZIP contenait INLETDRIFT, un malware macOS avancé camouflé à l’intérieur du document « légitime ». Une fois activé, le malware a établi une porte dérobée persistante, en utilisant un AppleScript malveillant.

La conception du logiciel malveillant était sophistiquée, présentant un PDF convaincant aux utilisateurs tout en opérant discrètement en arrière-plan.

Malgré les pratiques rigoureuses de cybersécurité de Radiant – incluant des simulations de transactions, la vérification de la charge utile et l’adhésion aux procédures opérationnelles standard (SOPs) de l’industrie – le logiciel malveillant a réussi à infiltrer et à compromettre plusieurs appareils de développeurs.

Les attaquants ont exploité la signature aveugle et ont falsifié les interfaces frontales, affichant des données de transaction bénignes pour masquer les activités malveillantes. En conséquence, des transactions frauduleuses ont été exécutées sans détection.

En préparation du vol, les attaquants ont mis en place des contrats intelligents malveillants sur plusieurs plateformes, y compris Arbitrum, Binance Smart Chain, Base et Ethereum. Juste trois minutes après le vol, ils ont effacé les traces de leur porte dérobée et de leurs extensions de navigateur.

Le vol a été exécuté avec précision : seulement trois minutes après le transfert des fonds volés, les attaquants ont effacé les traces de leur porte dérobée et des extensions de navigateur associées, compliquant davantage l’analyse médico-légale.

Mandiant attribue l’attaque à UNC4736, également connu sous le nom d’AppleJeus ou de Citrine Sleet, un groupe lié au Bureau général de reconnaissance (RGB) de la Corée du Nord. Cet incident met en lumière les vulnérabilités dans la signature aveugle et les vérifications frontales, soulignant le besoin urgent de solutions au niveau du matériel pour valider les charges de transaction.

Radiant collabore avec les forces de l’ordre américaines, Mandiant et zeroShadow pour geler les actifs volés. Le DAO reste engagé à soutenir les efforts de récupération et à partager ses connaissances pour améliorer les normes de sécurité à l’échelle de l’industrie.