Un développeur senior embauché après avoir passé 4 entretiens vidéo a installé un malware 25 minutes après avoir reçu le laptop de l’entreprise

Le 15 avril, le département de la Justice des États-Unis a condamné à 108 mois et 92 mois de prison ferme deux citoyens américains ayant aidé des travailleurs informatiques nord-coréens à infiltrer des entreprises américaines

La méthode clé consistait à rassembler des dizaines de laptops d’entreprise dans des habitations aux États-Unis, puis à permettre à des travailleurs informatiques nord-coréens situés à Dandong et Shenyang, en Chine, de travailler à distance via des commutateurs KVM

En apparence, tout semblait américain : IP américaine, compte bancaire américain, laptop américain et identité américaine, mais les véritables opérateurs étaient des travailleurs informatiques nord-coréens

Selon l’annonce du département de la Justice, plus de 80 identités de citoyens américains ont été usurpées, plus de 100 entreprises américaines ont été touchées, et environ 5 millions de dollars ont été transférés vers la Corée du Nord

Dans certains cas, il a également été signalé que des complices à l’étranger avaient accédé à des données soumises au contrôle ITAR d’une entreprise californienne d’IA dans la défense, ce qui élargit l’affaire au-delà d’une simple fraude à l’emploi vers un problème de fuite de technologies de défense

Le secteur de la sécurité estime que le problème est bien plus vaste

Le CTO de Mandiant a mentionné à la RSAC 2025 que presque tous les CISO reconnaissaient avoir embauché au moins un travailleur informatique nord-coréen, et parfois plusieurs dizaines

Google a également indiqué avoir détecté des candidats travailleurs informatiques nord-coréens dans son propre pipeline de recrutement, et certaines startups crypto affirment que les candidatures d’ingénieurs nord-coréens se faisant passer pour des Américains sont de loin les plus nombreuses

L’entreprise de sensibilisation à la sécurité KnowBe4 a elle aussi rendu public un cas où elle a été victime

Malgré une vérification d’antécédents, quatre entretiens vidéo et même une vérification photo, le candidat a été retenu, et le malware a été exécuté 25 minutes seulement après l’arrivée de la station de travail Mac envoyée par l’entreprise

Récemment, la méthode a évolué : après un licenciement, les attaquants prennent en otage le code source et les données internes et exigent des bitcoins

Il ne s’agit plus simplement d’un mécanisme pour détourner des salaires, mais d’une attaque composite pouvant mener à une menace interne, à du ransomware et à des liens avec des groupes de hacking étatiques

Le changement essentiel est que la Corée du Nord ne se contente plus de gagner de l’argent par le hacking ou le vol de cryptomonnaies, mais génère aussi des revenus en entrant dans les systèmes de paie officiels des entreprises américaines comme de prétendus « employés »

Alors que l’application traditionnelle des sanctions contre la Corée du Nord était centrée sur les institutions financières, les compagnies maritimes et le suivi de sociétés écrans, cette affaire montre que les RH, le recrutement et l’infrastructure du travail à distance peuvent eux-mêmes devenir des voies de contournement des sanctions

L’essence de cette affaire est que ce n’est pas seulement un problème pour les équipes de sécurité : l’ensemble du marché du recrutement est devenu une surface d’attaque

À l’ère du recrutement à distance, cela ressemble à une nouvelle forme d’attaque de la chaîne d’approvisionnement : un candidat ayant passé les entretiens, la vérification d’identité, l’envoi du matériel et l’accès au réseau interne peut en réalité être un développeur qui ne se trouve même pas aux États-Unis