Krypto-Jobs in Gefahr: Nordkoreanische Hacker greifen erneut mit neuer Malware an

Laut Cisco Talos hat eine nordkoreanisch ausgerichtete Gruppe ihre Bemühungen verstärkt, Krypto-Jobsuchende in Indien mit einem neuen Python-basierten Remote-Access-Trojaner ins Visier zu nehmen.

Die Kampagne nutzt gefälschte Jobseiten und inszenierte Vorstellungsgespräche, um Kandidaten dazu zu bringen, bösartigen Code auszuführen. Die Opfer geben dabei unwissentlich die Schlüssel zu ihren Wallets und Passwort-Managern preis.

Gefälschte Jobplattformen

Jobsuchende werden durch Anzeigen gelockt, die große Namen wie Coinbase, Robinhood und Uniswap nachahmen. Personalvermittler kontaktieren sie über LinkedIn oder E-Mail und laden sie zu einer „Fähigkeitstest“-Website ein. Zunächst wirkt alles harmlos. Im Hintergrund sammelt die Seite jedoch Systemdetails und Browserinformationen.

Täuschendes Bewerbungsverfahren

Nach dem Test nehmen die Kandidaten an einem Live-Videointerview teil. Ihnen wird gesagt, sie sollen ihre Kameratreiber aktualisieren. In einem schnellen Manöver kopieren und fügen sie Befehle in ein Terminalfenster ein. Ein Klick – und PylangGhost ist installiert. Das ganze Schema läuft reibungslos – bis die Malware die Kontrolle übernimmt.

PylangGhost ist eine Weiterentwicklung des früheren GolangGhost-Tools. Einmal aktiv, stiehlt es Cookies und Passwörter aus mehr als 80 Browser-Erweiterungen. Dazu gehören MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink und MultiverseX.

Der Trojaner öffnet dann eine Hintertür für Fernzugriff. Er kann Screenshots machen, Dateien verwalten, Browserdaten stehlen und bleibt unerkannt auf dem System.

Nordkoreanische Hacker nutzten im April einen gefälschten Einstellungstest vor dem 1,4-Milliarden-Dollar-Bybit-Raub. Sie haben auch ähnliche Tricks mit infizierten PDFs und bösartigen Links versucht.

Diese Gruppe – bekannt als Famous Chollima oder Wagemole – hat seit 2019 Millionen durch Krypto-Wallet-Brüche gestohlen. Ihr Ziel ist einfach: gültige Zugangsdaten beschaffen und dann still Gelder bewegen.

Sicherheitsteams sind alarmiert. Sie empfehlen, jede URL auf Rechtschreibfehler und seltsame Domains zu überprüfen. Experten raten, Jobangebote über vertrauenswürdige Kanäle zu verifizieren.

Endpoint-Erkennungstools sollten Skripte markieren, die Remote-Server aufrufen. Multi-Faktor-Authentifizierung kann verhindern, dass gestohlene Passwörter vollen Zugriff gewähren.

Diese Warnung zeigt, wie weit staatlich verbundene Akteure gehen, um Krypto-Assets zu stehlen. Die Kombination aus Social Engineering und maßgeschneiderter Malware ist ein erhebliches Risiko. Jeder, der im Blockchain-Bereich Arbeit sucht, sollte jeden LINK überprüfen und niemals unverifizierten Code ausführen.

Hardware-Wallets offline zu halten und separate Profile für die Jobsuche zu verwenden, kann das Risiko verringern. Wachsamkeit im Einstellungsprozess und robuste technische Kontrollen bleiben die beste Verteidigung gegen diese sich entwickelnden Bedrohungen.

Featured image from Shutterstock, chart from TradingView

Übersetzt von B1tM1ner