Depuis plusieurs mois, un groupe nord-coréen particulièrement actif, suivi sous le nom PurpleBravo (également connu sous les alias Contagious Interview, DeceptiveDevelopment ou DEV#POPPER), mène une campagne sophistiquée de social engineering ciblée sur les développeurs logiciels. Selon les chercheurs de Recorded Future, plus de 3 136 adresses IP ont été touchées entre août 2024 et septembre 2025, avec une concentration marquée en Asie du Sud et en Amérique du Nord. Vingt organisations ont été identifiées comme victimes potentielles dans les secteurs de l’IA, de la cryptomonnaie, des services financiers, des services IT, du marketing et du développement logiciel – principalement en Europe, en Asie du Sud, au Moyen-Orient et en Amérique centrale.

Ce qui rend cette campagne particulièrement inquiétante, ce n’est pas seulement le vol de cryptomonnaies (objectif historique de Pyongyang). C’est la contamination de la chaîne d’approvisionnement logicielle. Beaucoup de cibles travaillent dans des sociétés de services IT, de staff-augmentation ou de développement externalisé. Quand un développeur exécute du code malveillant sur son poste de travail – souvent un ordinateur d’entreprise –, l’attaquant obtient un point d’entrée direct chez le client final. Une seule candidature acceptée peut donc compromettre des dizaines, voire des centaines d’entreprises en aval.

Comment fonctionne le piège PurpleBravo ?

1. Profils LinkedIn falsifiés Les attaquants créent des personas crédibles (souvent des recruteurs ukrainiens ou européens) qui contactent directement les développeurs en recherche d’emploi ou en freelance.

2. Entretien « technique » bidon Après quelques échanges, le recruteur propose un test de code. Il partage un dépôt GitHub (ou GitLab/Bitbucket) censé contenir le projet à développer. Le candidat est invité à cloner le repo et à lancer le code « pour tester l’environnement ».

3. Malware multiplateforme Les dépôts contiennent du code malveillant (BeaverTail, InvisibleFerret, GolangGhost, PyLangGhost) qui vole :

   • les identifiants de navigateur et extensions (y compris les wallets MetaMask)

   • les mots de passe stockés

   • les clés de cryptomonnaies

   • des captures d’écran, des fichiers et un accès distant complet

4. ClickFix et variantes Dans certains cas, le candidat est redirigé vers une « résolution de problème technique » qui aboutit à l’exécution d’un script malveillant via une fausse fenêtre d’erreur.

Le tout est conçu pour paraître légitime : documents Google Docs avec maquettes Figma, noms de projets crédibles (ex. : Lumanagi, un faux DEX hongrois), etc.

Pourquoi cette menace est sous-estimée en Europe et en Suisse

On parle beaucoup des « IT workers » nord-coréens qui postulent directement chez les entreprises (PurpleDelta). Mais PurpleBravo est plus insidieux : il ne cherche pas un CDI, il cherche un accès temporaire mais profond chez des freelances et des prestataires externes. Or, les PME et communes suisses externalisent de plus en plus le développement vers l’Asie du Sud et l’Europe de l’Est. Un seul développeur compromis chez un sous-traitant peut suffire à introduire un backdoor chez le client final.

Résultat : l’attaque passe souvent inaperçue jusqu’à ce que des données sensibles fuient ou qu’un ransomware apparaisse des mois plus tard.

Ce que vous devez faire dès aujourd’hui (mesures concrètes)

• Vérification des recruteurs : jamais de lien GitHub envoyé par un recruteur inconnu sans vérification préalable (appel vidéo, recherche croisée du profil, contact via le site officiel de l’entreprise).

• Politique « no code execution » : interdire aux candidats et freelances d’exécuter du code provenant de dépôts non vérifiés sur des postes de travail d’entreprise. Utiliser des environnements isolés (VM, GitHub Codespaces avec restrictions, ou sandbox).

• Formation obligatoire : sensibiliser les équipes techniques et RH aux techniques de « Contagious Interview ». Une session de 45 minutes peut diviser par dix le risque humain.

• Contrôles techniques : EDR sur tous les postes des prestataires, blocage des installations npm/go non listées, surveillance des domaines Astrill VPN et des IoC publiés par Recorded Future.

• Audit supply-chain : cartographier vos prestataires de développement et exiger des preuves de formation et de contrôles de sécurité.

  Cybersécurité ! ce n’est pas que pour les experts. C’est l’affaire de tous. Partagez cet article pour alerter autour de vous !

  Partager

Chez Computis, nous accompagnons depuis 2011 les communes, institutions publiques et PME Suisse romande face à ces menaces précises. Nos audits d’infrastructure, nos formations de sensibilisation sur mesure et nos solutions de monitoring 24/7 sont conçus pour transformer le risque humain en véritable atout de défense.

Ne laissez pas un faux entretien d’embauche devenir la faille qui coûtera des millions à votre organisation.

Agissez maintenant :
Demandez une analyse de vos risques supply-chain ou réservez une session de formation « Social Engineering & Fake Job Offers » pour vos équipes techniques et RH.

→ Contactez-nous directement via notre formulaire de contact

Les hackers nord-coréens ne s’arrêtent pas. Vos défenses ne doivent pas s’arrêter non plus. Abonnez-vous à Computis Insights pour recevoir chaque semaine des analyses exclusives comme celle-ci, directement adaptées au contexte suisse.Votre sécurité commence par la vigilance. La nôtre, par l’accompagnement concret.

Computis – Votre partenaire cybersécurité en Suisse romande.