北朝鮮ハッカーが仮想通貨求職者を狙う—インドで新たな脅威が浮上
北朝鮮系ハッカーグループが、インドの仮想通貨業界を狙った新たな攻撃キャンペーンを展開中だ。求職者を装った巧妙なフィッシング作戦で、デジタル資産を狙う手口が明らかに。
【手法】偽の採用面接で信用を獲得
被害者には「ブロックチェーン企業の人事担当者」を名乗る人物から連絡。Zoom面接を装い、偽の契約書類や「採用テスト」と称するマルウェアを送付。仮想通貨ウォレットの認証情報を盗み出す手口だ。
【背景】暗号市場の熱狂がハッカーを誘引
インドでは仮想通貨取引所の利用者が急増中—規制のグレーゾーンを突く形で、新たなカモが続々と誕生している(当局の後手々々の対応も相まって)。
【専門家警告】「採用詐欺」が2025年の新トレンドに
セキュリティ企業は「暗号業界の雇用熱」を悪用した攻撃が急増すると予測。特にインド・ベトナム・ブラジルなど新興市場が標的だと指摘する。
暗号バブルに群がるハッカーと投資家—どちらがより貪欲か、見極めがつかない今日この頃だ。
北朝鮮の仮想通貨ハッキングが続く
北朝鮮のラザルスグループは、仮想通貨犯罪で恐るべき評判を持ち、業界史上最大のハッキングを行った。しかし、同国のWeb3犯罪はこれだけではなく、北朝鮮はDeFiにも大きな存在感を持つ。
シスコ・タロスは、インドで最近発生した仮想通貨窃盗に対する新たなアプローチを特定した。
Famous Chollima, a North Korean-aligned threat actor, is targeting cryptocurrency/blockchain professionals (primarily in India) with the new PylangGhost RAT, a PYTHon-based equivalent to their GolangGhost RAT: https://t.co/fYKvY1tXdB pic.twitter.com/ojDl6Oz7Zv
— Cisco Talos InTELligence Group (@TalosSecurity) June 18, 2025報告によれば、Famous Chollimaは新しいグループではなく、2024年中頃から、あるいはそれ以前から活動している。最近のいくつかの事件では、北朝鮮のハッカーが米国の仮想通貨企業クラーケンなどに侵入しようと試みた。
Famous Chollimaは逆に、偽の応募で潜在的な労働者を誘い込んだ。
「これらのキャンペーンには、偽の求人広告やスキルテストページの作成が含まれる。後者では、ユーザーに最終スキルテスト段階を実施するために必要なドライバをインストールするための悪意のあるコマンドラインをコピー&ペーストするよう指示される。[影響を受けたユーザーは]主にインドにいる」と同社は主張した。
ラザルスの恐るべき評判に比べ、Famous Chollimaのフィッシング活動はかなり不器用に見える。シスコは、このグループの偽の応募が常に有名な仮想通貨企業を模倣していると主張した。
これらの誘いは実際の企業のブランドを使用せず、応募職にほとんど関係のない質問をしていた。
餌に食いつく
被害者は、著名なテックや仮想通貨企業を装った偽の採用サイトを通じて誘い込まれる。応募書類を提出した後、ビデオ面接に招待される。
この過程で、サイトはビデオドライバのインストールを名目にコマンドラインの実行を求めるが、実際にはマルウェアをダウンロードしてインストールする。
インストールされると、PylangGhostは攻撃者に被害者のシステムの完全な制御を与える。ログイン情報、ブラウザデータ、仮想通貨ウォレット情報を盗み、MetaMask、PhantOM、1Passwordなど80以上の人気拡張機能を標的にする。
最近、マルウェア攻撃を阻止した後、BitMEXはラザルスが少なくとも2つのチームを使用していると主張した。低スキルのチームが最初にセキュリティプロトコルを突破し、高スキルのチームがその後の窃盗を行う。これは北朝鮮のハッカーコミュニティで一般的な手法かもしれない。
残念ながら、推測なしに確固たる結論を出すのは難しい。北朝鮮はこれらの応募者をハッキングして、仮想通貨業界の求職者としての偽装を強化しようとしているのだろうか。
ユーザーは、未承諾の求人情報に注意し、未知のコマンドを実行せず、エンドポイント保護、MFA、ブラウザ拡張機能の監視でシステムを保護するべきである。
採用ポータルの正当性を確認し、機密情報を共有する前に必ず確認すること。
