Ripple a annoncé lundi 5 mai le partage de ses renseignements internes sur les hackers nord-coréens avec le Crypto ISAC, le centre de partage d’informations de l’industrie crypto. La décision intervient après deux attaques majeures en avril 2026 : les brèches Drift (285 M$) et Kelp (292 M$), totalisant plus de 577 M$ attribués au groupe Lazarus en un seul mois.

Au programme

  • Ripple partage profils LinkedIn, adresses e-mail et indicateurs de compromission (IOCs) liés aux opérateurs nord-coréens avec le Crypto ISAC (CoinDesk, 2026)
  • La méthode Lazarus a muté : exit les failles de smart contracts, place à l’infiltration longue durée via faux recrutements et logiciels malveillants
  • Sur le plan juridique, un avocat tente de geler 30 765 ETH chez Arbitrum DAO au nom des victimes du terrorisme nord-coréen
Lazarus Group : 577 M$ volés en avril 2026 Le groupe Lazarus, lié à la Corée du Nord, a orchestré deux attaques majeures en avril 2026 : le hack Drift (285 M$) et le hack Kelp (292 M$), pour un total de plus de 577 millions de dollars. Lazarus Group : bilan avril 2026 577 M$ volés en un seul mois (Drift + Kelp) Attribués au groupe Lazarus (DPRK) par Ripple et Crypto ISAC Source : CoinDesk, 5 mai 2026

Pourquoi Ripple entre dans la bataille du renseignement ?

Le hack Drift, en avril, n’a exploité aucune faille de code. Des opérateurs nord-coréens ont passé plusieurs mois à tisser des liens avec les contributeurs du protocole, ont installé des logiciels malveillants sur leurs machines, puis ont exfiltré les clés privées. Résultat : 285 M$ transférés sans qu’aucune alerte de sécurité traditionnelle ne se déclenche.

Ce scénario illustre une rupture nette avec la vague 2022-2024, centrée sur l’exploitation de failles dans les smart contracts. Les outils de défense classiques, conçus pour détecter des anomalies on-chain, sont aveugles face à un attaquant qui opère comme un employé légitime. C’est exactement le type de menace que l’industrie crypto peine à anticiper.

Quelles données Ripple transmet-il au Crypto ISAC ?

Les informations partagées couvrent des profils LinkedIn frauduleux, des adresses e-mail, des numéros de contact, des domaines suspects et des indicateurs de compromission (IOCs) liés aux opérateurs de la DPRK. L’objectif est de permettre aux équipes de sécurité de relier des candidatures suspectes entre plusieurs entreprises.

« La posture de sécurité la plus solide dans la crypto est une posture partagée. Un acteur malveillant qui échoue à un contrôle de background dans une société posturera dans trois autres la même semaine. Sans renseignement partagé, chaque entreprise repart de zéro. » : Ripple, 5 mai 2026 (traduit de l’anglais)

La logique est simple : un opérateur recalé chez Ripple peut immédiatement candidater ailleurs. Sans base de données commune, chaque entreprise découvre la menace trop tard. Cette démarche prolonge l’historique d’attaques nord-coréennes documentées, qui dépassaient déjà le milliard de dollars en 2022.

Quelles suites judiciaires après le hack Kelp ?

Le hack Kelp Bridge a drainé 292 M$ en ETH en avril, également attribué au groupe Lazarus. Un avocat représentant des victimes du terrorisme nord-coréen a depuis signifié des avis conservatoires à l’Arbitrum DAO, au motif que les 30 765 ETH gelés après l’attaque constitueraient une propriété nord-coréenne saisissable au titre du droit américain.

Aave a contesté ce dépôt en soutien à Arbitrum, arguant qu’« un voleur n’acquiert pas la propriété légale d’un bien simplement en le prenant ». L’issue de cette procédure pourrait fixer un précédent sur la manière dont les fonds volés par des États sont traités dans les litiges crypto. Le comportement répété du groupe Lazarus rappelle les pratiques documentées de la Corée du Nord en matière de piratage crypto.

Lecture CryptoActu La mutation tactique du groupe Lazarus est le signal le plus préoccupant de cet épisode. Quand l’attaquant passe des mois en entretien d’embauche avant de frapper, le périmètre à défendre n’est plus le code : c’est le processus de recrutement lui-même. Le partage de renseignements entre pairs reste la seule réponse collective crédible, mais son efficacité dépend de la vitesse à laquelle les données circulent.

À retenir

Ripple injecte dans le Crypto ISAC des données de profilage qui permettent à l’industrie de relier les tentatives d’infiltration entre entreprises. Avec plus de 577 M$ volés en avril par un seul acteur étatique, la prochaine question est de savoir si ce partage d’informations sera suffisamment rapide pour devancer des campagnes qui s’étendent sur plusieurs mois.

Sources

Signal Baissier
Impact Modéré
EN DIRECT