Cisco Talos : Une nouvelle menace nord-coréenne ’PylangGhost’ cible les travailleurs du crypto via de faux sites d’emploi

L'organisation de renseignement sur les menaces de Cisco, Cisco Talos, a détecté un nouveau malware basé sur Python appelé 'PylangGhost'. Il est lié au groupe de piratage nord-coréen, Famous Chollima.

Selon un récent article de blog de Cisco Talos, le PylangGhost est exclusivement utilisé par des acteurs de cybermenaces affiliés à la Corée du Nord pour infiltrer le matériel des chercheurs d'emploi cherchant des rôles dans l'industrie crypto.

Le PylangGhost est un nouveau type de cheval de Troie d'accès distant basé sur Python qui fonctionne de manière similaire au GolangGhost RAT précédemment documenté et découvert par Cisco Talos en décembre 2024.

Plus récemment, la firme de cybersécurité a constaté qu'il était activement utilisé par le groupe de piratage Famous Chollima pour infiltrer les systèmes Windows, tout en continuant à déployer une version basée sur Golang pour les utilisateurs de MacOS. Jusqu'à présent, les données open-source indiquent que la plupart des victimes affectées par ce malware sont basées en Inde.

Famous Chollima est également surnommé 'Wagemole' en raison de leurs tentatives répétées de voler des mots de passe et d'infiltrer les portefeuilles crypto des utilisateurs, ainsi que de subtiliser d'autres informations sensibles via de fausses offres d'emploi en ligne.

Comment les hackers nord-coréens attirent-ils leurs victimes ?

Selon le rapport, le groupe de pirates attire ses victimes via des campagnes d'entretiens d'embauche fictifs utilisant l'ingénierie sociale. Les attaquants créent ensuite de faux sites d'emploi qui imitent des grandes entreprises crypto, dont Coinbase, Robinhood et Uniswap, entre autres.

Les victimes sont ensuite invitées à participer à plusieurs étapes, initiées par de faux recruteurs. Elles sont ensuite invitées à ouvrir de faux sites de test de compétences où leurs informations personnelles sont collectées.

Lors de la préparation du faux entretien, l'utilisateur est ensuite trompé pour qu'il autorise l'accès du site à sa caméra et à son microphone. Durant cette phase, le faux recruteur leur demandera de copier et exécuter des commandes malveillantes sous prétexte d'installer des pilotes vidéo mis à jour.

Lors de l'exécution de la commande, le malware parvient à infiltrer leur appareil. La commande permet un contrôle à distance de l'appareil infecté et donne aux attaquants l'accès aux cookies et identifiants de plus de 80 extensions de navigateur.

Cela inclut l'accès aux gestionnaires de mots de passe et aux portefeuilles crypto, dont MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink et MultiverseX.

Comme rapporté précédemment par Crypto en avril, un autre collectif de hackers nord-coréens, le groupe Lazarus, a également utilisé des méthodes similaires pour attirer les utilisateurs. Les attaquants déploieraient de fausses candidatures avec au moins trois souches de malware détectées liées aux cyberopérations nord-coréennes.

Traduit par R4v3n