Des pirates nord-coréens ont utilisé les extensions Google Chrome pour collecter des données personnelles auprès de Sud-Coréens.
Le piratage, qui fait partie d’une tentative de longue date de cyberespionnage de la part de l’État paria, a utilisé un acte complexe de tromperie logicielle pour installer de faux programmes de traduction sur les appareils de victimes sans méfiance.
Une fois à l’intérieur, les mots de passe, les e-mails et d’autres éléments de données personnelles se sont retrouvés entre les mains d’acteurs soutenus par Pyongyang.
Selon un nouveau rapport de la société américaine de sécurité cloud Zscaler, le piratage a eu lieu en mars 2024 et a utilisé une extension Chrome nommée « TRANSLATEXT ».
TRANSLATEXT, que Zscaler a qualifié de « déguisé » en programme de traduction légitime de Google, a été téléchargé sur la plateforme de partage de code GitHub sous le nom de « GoogleTranslate.crx ».
Les analystes n’ont pas pu confirmer la méthode de diffusion spécifique de TRANSLATEXT sur les ordinateurs des utilisateurs. Cependant, Zscaler a déclaré que les pirates auraient pu forcer l’installation du malware sur les ordinateurs sans l’autorisation de l’utilisateur à l’aide d’une clé de registre Windows.
Google a souligné que l’extension n’était pas un produit officiel du Chrome Web Store.
Presse associée
Une fois à l’intérieur, la fausse extension de traduction a pu voler des adresses e-mail et des mots de passe, prendre des captures d’écran et voler des morceaux de données personnelles aux victimes inconscientes.
L’une de ces victimes était un universitaire sud-coréen spécialisé dans les questions géopolitiques concernant la péninsule coréenne.
Les attaques remontent à l’organisation de piratage informatique Kimsuky, un groupe soutenu par l’État connu pour cibler des cibles mondiales et recueillir des renseignements pour le gouvernement nord-coréen.
Getty Images
Opérationnel depuis au moins 2013, Kimsuky est répertorié par la Cybersecurity & Infrastructure Security Agency des États-Unis comme une « menace persistante avancée ».
En juillet 2022, Kimsuky aurait également utilisé des extensions Chrome malveillantes pour cibler des utilisateurs aux États-Unis, en Europe et en Corée du Sud.
Cette dernière révélation s’inscrit dans le prolongement des récentes tentatives nord-coréennes de cyberespionnage.
Aux côtés de la Chine, la Corée du Nord est connue pour ses activités de cyberespionnage contre les États-Unis et leurs alliés à de nombreuses reprises.
En mai, le groupe de pirates informatiques « Lazarus », affilié à l’État, a accédé aux courriers électroniques personnels de plus de 100 personnes en Corée du Sud, y compris aux comptes du personnel de sécurité nationale et de hauts responsables de la défense.
Chung Sung-Jun/Getty Images
L’attaque coïncide également avec une période de tension accrue entre la Corée du Nord et son voisin du sud.
En réponse aux activistes sud-coréens qui ont envoyé des tracts anti-RPDC en Corée du Nord, le pays a réagi en faisant voler des ballons remplis de déchets au-dessus de la frontière.
Au cours des quatre dernières semaines, des coups de semonce ont également été tirés par les troupes sud-coréennes à trois reprises, après que des soldats nord-coréens ont apparemment franchi la ligne de démarcation militaire le long de la frontière intercoréenne.
Lors d’une visite à Pyongyang début juin, Vladimir Poutine et Kim Jong Un ont signé un accord de partenariat stratégique, promettant de venir en aide militairement à l’autre si l’un d’eux était attaqué.
Cette décision a immédiatement suscité l’ire de la Corée du Sud, qui a averti que le partenariat renouvelé entre la Corée du Nord et Moscou “devrait être une préoccupation majeure pour quiconque s’intéresse au maintien de la paix et de la stabilité dans la péninsule coréenne”.
Avez-vous un sujet que nous devrions couvrir ? Avez-vous des questions sur cet article ? Contactez [email protected]
“); jQuery(this). supprimer()}) jQuery(‘. démarrer-slider’).owlCarousel({boucle:!1,marge:10,nav:!0,éléments:1}).on(‘changed.owl.carousel’,fonction(événement){var currentItem=événement.élément.index;var totalItems=événement.élément.count;si(currentItem===0){jQuery(‘.owl-prev’).addClass(‘désactivé’)}sinon{jQuery(‘.owl-prev’).removeClass(‘désactivé’)} si(currentItem===totalItems-1){jQuery(‘.owl-next’).addClass(‘désactivé’)}sinon{jQuery(‘.owl-next’).removeClass(‘désactivé’)}})}})}
