La Corée du Nord piège les utilisateurs Mac avec de fausses offres d'emploi

La menace pesant sur l'écosystème Apple se précise. Des opérateurs affiliés à la Corée du Nord ont orchestré une attaque d'une grande finesse, combinant l'ingénierie sociale et des tactiques de manipulation psychologique. L'objectif est clair : tromper la vigilance des utilisateurs de Mac, souvent des développeurs de logiciels, pour infiltrer leurs systèmes. Les hackers ont mis sur pied de fausses entreprises, des profils LinkedIn factices et des sites de recrutement bidons pour rendre leur piège aussi crédible que possible. Cette campagne, baptisée Contagious Interview, démontre que la plateforme macOS est désormais une cible prioritaire pour ces groupes de cybercriminels étatiques.

Comment fonctionne cette attaque par ingénierie sociale ?

Le mode opératoire est un scénario bien huilé, conçu pour endormir la méfiance de la cible. Après avoir postulé à une offre d'emploi alléchante ou avoir été contacté via LinkedIn, le candidat est invité à passer plusieurs étapes de sélection. La phase finale consiste à enregistrer une présentation vidéo sur une plateforme prétendument fournie par le recruteur. C'est ici que le piège se referme. La plateforme signale un dysfonctionnement de la caméra et propose une "solution" simple : copier-coller une ligne de commande dans le Terminal de l'ordinateur.

Cette commande, présentée comme un correctif anodin, est en réalité un script malveillant qui télécharge et installe le malware FlexibleFerret. En exploitant la confiance établie durant le faux processus de recrutement, les acteurs malveillants de la Corée du Nord parviennent à faire exécuter leur code par la victime elle-même. Cette méthode, connue sous le nom de "ClickFix", consiste à créer un problème fictif pour ensuite proposer une solution malveillante, une version moderne des anciens pop-ups alarmistes.

Quels sont les dangers concrets du malware FlexibleFerret ?

Une fois installé, FlexibleFerret agit comme une porte dérobée (backdoor) persistante, donnant aux attaquants un contrôle étendu sur la machine infectée. Le logiciel malveillant est capable de contourner des protections intégrées à macOS comme Gatekeeper, ce qui lui permet de s'implanter durablement dans le système. Ses capacités sont vastes et particulièrement dangereuses pour la confidentialité et la sécurité des données de l'utilisateur.

Le malware peut exfiltrer des fichiers, exécuter des commandes à distance, collecter des informations détaillées sur le système et, surtout, voler les données de profil du navigateur Chrome, y compris les mots de passe enregistrés. En substance, il installe un agent de surveillance complet sur le Mac compromis, ouvrant la voie au vol d'identifiants, à l'espionnage industriel ou à d'autres activités malveillantes. La sophistication de l'attaque montre que les utilisateurs de l'écosystème Apple ne sont plus à l'abri des menaces les plus sérieuses.

Comment se protéger efficacement contre cette nouvelle menace ?

Face à ce type d'attaque reposant sur la manipulation psychologique, la vigilance est la première ligne de défense. Les chercheurs en sécurité qui ont découvert cette campagne insistent sur l'importance d'adopter des réflexes de prudence. Tout processus de recrutement non sollicité ou présentant des étapes inhabituelles doit être considéré comme un signal d'alerte majeur : la demande d'exécuter des commandes dans le Terminal pour "réparer" un prétendu problème technique en est d'ailleurs un de taille.

Il est impératif de ne jamais suivre de telles instructions, quelle que soit la crédibilité apparente de l'interlocuteur. Au moindre doute, il est recommandé d'interrompre immédiatement la procédure et de signaler la tentative de contact suspecte. La meilleure protection contre ces pirates de haut vol reste de considérer que la sécurité ne dépend pas seulement des outils techniques, mais aussi du bon sens et d'une méfiance saine face à des demandes inhabituelles, surtout dans un contexte professionnel.