GitLab dénonce les abus de sa plateforme pour inciter les développeurs de logiciels à télécharger des charges utiles malveillantes et les sociétés financières à embaucher des Nord-Coréens.
Une étude de GitLab a révélé les dernières escroqueries à l’origine des escroqueries nord-coréennes contre les faux informaticiens.
GitLab a interdit l’année dernière 131 comptes attribués à la Corée du Nord, dont la plupart impliquaient des référentiels JavaScript qui servaient de ressources dans la campagne dite Contagious Interview.
Dans la plupart des cas, les projets GitLab ont agi comme des chargeurs obscurcis pour les charges utiles de logiciels malveillants, tels que BeaverTail et Ottercookie, hébergés en dehors de la plateforme de référentiel de code.
Entretien contagieux
La campagne Contagious Interview tourne autour d’acteurs menaçants nord-coréens se faisant passer pour des recruteurs ou des responsables du recrutement afin d’inciter les développeurs de logiciels à exécuter des projets de code malveillant sous prétexte d’entretiens techniques.
Les opérateurs utilisaient généralement des VPN grand public lorsqu’ils interagissaient avec GitLab, mais certains acheminaient parfois leur accès via des infrastructures de serveurs privés virtuels (VPS) dédiés ou des fermes d’ordinateurs portables.
GitLab a perturbé ces opérations en interdisant les référentiels suspects.
Opportuniste et largement ciblé
Ces silos de codes suspects ont été exploités dans le cadre de divers projets illicites, répartis entre le ciblage de programmeurs à la recherche d’un emploi et les opérations de faux travailleurs informatiques.
Smith a poursuivi : « Pour les opérations de faux travailleurs informatiques, les acteurs de la menace trouvent généralement un emploi dans de petites organisations à la recherche de développeurs de logiciels sous contrat, en particulier via des plateformes indépendantes. »
Les grandes organisations sont également la cible des escroqueries en cours, qui ont véritablement commencé en 2022 et ont commencé dès 2019.
Un métier en évolution
Le métier des fraudeurs a évolué l’année dernière grâce à l’utilisation de dépendances malveillantes du gestionnaire de packages NPM, à la détection du bac à sable et au recours croissant à des projets privés sur invitation uniquement.
Les acteurs nord-coréens ont également davantage recours aux technologies d’IA pour développer des obfuscateurs personnalisés et, en automatisant la création d’identités synthétiques, pour générer des connexions professionnelles et des pistes de contact à grande échelle, explique GitLab dans un article de blog technique.
Un informaticien contrôlait 21 personnalités uniques, constituées en ajoutant sa propre image aux scans volés de documents d’identité américains.
Certains des référentiels interdits contenaient des dossiers personnels, des analyses de passeports, des relevés bancaires de plusieurs banques chinoises et des feuilles de calcul structurées de performances trimestrielles.
Dans une fausse chaufferie d’informaticiens
GitLab explique comment un référentiel révèle des dossiers financiers et personnels détaillés pour une cellule informatique nord-coréenne basée à Pékin qui a gagné plus de 1,64 million de dollars entre le premier trimestre 2022 et le troisième trimestre 2025.
La cellule de huit personnes composée de ressortissants nord-coréens a généré des revenus grâce au développement indépendant de logiciels Web et mobiles tout en se faisant passer sous de fausses identités.
Les bénéfices ont chuté l’année dernière mais dépassaient toujours 11 000 $ par membre au troisième trimestre 2025, selon les propres records du groupe.
Le projet privé contenait également des évaluations des performances des membres de la cellule, datées de 2020. Ces évaluations des performances comprennent des commentaires sur les revenus et le développement des compétences des membres, ainsi que des remarques sur les contributions aux tâches ménagères au sein de l’équipe physiquement colocalisée – y compris la lessive, la coupe de cheveux et l’achat de nourriture et de boissons partagées – ainsi qu’une évaluation des « valeurs interpersonnelles et de l’adhésion aux valeurs du parti ».
Un autre dépôt de code privé a été exploité par un faux informaticien nord-coréen opérant probablement depuis le centre de Moscou. « L’acteur malveillant s’est concentré sur la culture d’un petit groupe de personnalités plus détaillées et est passé d’un travail indépendant à un emploi à temps plein », selon GitLab.
GitLab conclut que plusieurs équipes de la RPDC opèrent en parallèle avec une coordination limitée mais un savoir-faire similaire.
Armer la confiance
Dray Agha, responsable principal des opérations de sécurité chez Huntress, a déclaré que la société de services gérés de détection et de réponse avait observé un processus similaire en 2025 et au début de 2026.
« Les acteurs nord-coréens de la menace exploitent la confiance inhérente au processus de recrutement technologique, incitant les développeurs à exécuter des charges utiles malveillantes sous couvert d’évaluations techniques », a déclaré Agha. « En ciblant les développeurs hautement privilégiés dans des secteurs lucratifs comme la crypto-monnaie et la finance, ces acteurs contournent efficacement les défenses périmétriques traditionnelles pour établir une présence immédiate. »
Les acteurs menaçants de la RPDC adoptent l’IA générative pour étendre leurs opérations.
« De l’utilisation d’outils d’IA pour affiner la dissimulation des logiciels malveillants et contourner les mesures de sécurité, à l’automatisation de la création de personnages synthétiques, les groupes nord-coréens modernisent rapidement leur métier », a noté Agha. « Cela démontre que l’IA réduit activement les obstacles qui empêchent les acteurs de la menace d’exécuter une tromperie convaincante et à grande échelle. »
Hannah Baumgaertner, responsable de la recherche chez Silobreaker, a déclaré que les méthodes globales déployées par les faux groupes de travailleurs informatiques nord-coréens sont restées globalement similaires, bien qu’une « augmentation de l’utilisation de l’IA et d’autres méthodes d’infection comme ClickFix ait été observée au cours de l’année écoulée ».
« Les types de plates-formes utilisées abusivement dans le cadre de ce programme semblent également s’étendre, Visual Studio Code étant désormais également fréquemment utilisé pour l’accès initial », a ajouté Baumgaertner.
La fraude nord-coréenne contre les faux informaticiens est un problème intersectoriel. GitLab espère que ses recherches détaillées, qui comprennent plus de 600 indicateurs de compromission associés aux études de cas détaillées au cours de ses recherches, contribueront à responsabiliser les défenseurs de l’ensemble du secteur.
« Nous espérons que notre rapport aidera l’ensemble du secteur à renforcer ses défenses et contribuera à plus de transparence autour des tactiques et des opérations de ces acteurs malveillants », a conclu Smith de GitLab.
