Північнокорейські хакери атакують криптофахівців через фальшиві співбесіди та новий троян PylangGhost

Північнокорейські хакери приваблюють професіоналів у сфері криптовалют до складних фальшивих співбесід, які мають на меті вкрасти їхні дані та впровадити складне шкідливе програмне забезпечення на їхніх пристроях.

Новий тройян на основі Python під назвою`PylangGhost` пов`язує шкідливе ПЗ з північнокорейським хакерським колективом`Famous Chollima`, також відомим як`Wagemole`, про що повідомила аналітична фірма Cisco Talos у середу.

«Виходячи з оголошених вакансій, зрозуміло, що Famous Chollima широкомасштабно намагається залучити осіб з попереднім досвідом у криптовалютах та блокчейн-технологіях», — зазначила фірма.

Кампанія в першу чергу націлена на професіоналів у сфері криптовалют та блокчейн-технологій в Індії, використовуючи фальшиві сайти з вакансіями, які маскуються під легітимні компанії, включаючи Coinbase, Robinhood та Uniswap.

Схема розпочинається з того, що фальшиві рекрутери направляють шукачів роботи на сайти тестування навичок, де жертви вводять особисті дані та відповідають на технічні запитання.

Після завершення оцінювань кандидатам інструктують надати доступ до камери для відеоінтерв`ю, а потім пропонують скопіювати та виконати шкідливі команди, замасковані під установки відеодрайверів.

Dileep Kumar H V, директор Digital South Trust, сказавDecrypt, що для протидії цим шахрайствам «Індія повинна вимагати аудити кібербезпеки для блокчейн-компаній та моніторити фальшиві портали вакансій».

«CERT-In повинен видавати червоні сигнали, в той час як MEITY та NCIIPC повинні зміцнити глобальну координацію з крос-кордонної кіберзлочинності», — додав він, закликаючи до «міцніших юридичних положень» відповідно до закону про IT і «кампаній цифрової обізнаності».

Нововиявлене шкідливе ПЗPylangGhost може викрадати облікові дані та куки сесій з понад 80 розширень браузера, включаючи популярні менеджери паролів та криптогаманець, такі як Metamask, 1Password, NordPass та Phantom.

Тройян забезпечує постійний доступ до заражених систем і виконує віддалені команди з серверів управлінь.

Ця остання операція узгоджується з більш широкою схемою північнокорейської кіберзлочинності, націленої на криптовалюти, до якої входить загальновідомийLazarus Group, відповідальний за деякі з найбільших крадіжок у цій галузі.

Окрім крадіжки коштів безпосередньо з бірж, режим тепер намагається націлюватися на окремих професіоналів для збору інформації з метою потенційного вторгнення в криптокомпанії зсередини.

Група проводить атаки на основі найму, починаючи принаймні з 2023 року, через кампанії, такі як`Contagious Interview` та`DeceptiveDevelopment`, які націлюються на крипто-розробників на платформах, таких як GitHub, Upwork та CryptoJobsList.

Росла кількість випадків

Раніше цього року північнокорейські хакери створили фальшиві американські компанії—BlockNovas LLC таSoftGlide LLC—для розповсюдження шкідливого програмного забезпечення через фальшиві співбесіди, перш ніжFBI конфіскувало домен BlockNovas.

Шкідливе програмне забезпеченняPylangGhost функціонально еквівалентне раніше задокументованому GolangGhost RAT, маючи багато з тих же можливостей.

Версія на основі Python спеціально націлюється на системи Windows, тоді як версія на основі Golang продовжує націлюватись на користувачів macOS. Системи Linux помітно виключені з цих останніх кампаній.

Атакувальники підтримують десятки фальшивих сайтів з вакансіями та серверів завантаження, з доменами, які виглядають легітимно, такими як`quickcamfix.online` та`autodriverfix.online`, відповідно до звіту.

Спільназаява Японії, Південної Кореї та США підтвердила, що підтримувані Північною Кореєю групи, включаючиLazarus, вкрали принаймні$659 мільйонів через кілька крадіжок криптовалюти у 2024 році.

У грудні 2024 року,$50 мільйонний хак Radiant Capital почався, коли північнокорейські операційники видавали себе за колишніх підрядників і надсилали PDF-документи з шкідливим ПЗ інженерам.

Аналогічно, криптобіржа Kraken у травні повідомила, що їй вдалося виявити та зупинити північнокорейського операційника, який подав заявку на посаду в IT, спіймавши кандидата, коли він не пройшов основні тести перевірки особи під час співбесід.

Редакція: Себастьян Сінклер