仮想通貨求職者を狙う北朝鮮系ハッカー集団、新種のマルウェアで攻撃を再開

シスコ・タロスの調査によると、北朝鮮系のハッカーグループが、インドの仮想通貨業界の求職者を標的にした新たなPYTHonベースの遠隔操作型トロイの木馬（RAT）を使用した攻撃を強化しています。

この攻撃キャンペーンでは、偽の求人サイトと模擬面接を利用して候補者に悪意あるコードを実行させます。被害者は結果的にウォレットの鍵やパスワードマネージャーの情報を奪われることになります。

偽装された求人プラットフォーム

求職者は、Coinbase、Robinhood、Uniswapなどの大手企業を模倣した求人情報で誘い込まれます。採用担当者からLinkedInやメールで連絡があり、「スキルテスト」サイトへの参加を求められます。一見無害に見えるこのサイトでは、システム情報やブラウザデータが収集されています。

巧妙な面接プロセス

テスト後、候補者はライブビデオ面接に参加します。そこでカメラドライバーの更新を指示され、コマンドをターミナルウィンドウに貼り付けるよう求められます。一度クリックすると「PylangGhost」がインストールされ、マルウェアがシステムを掌握します。

PylangGhostは以前のGolangGhostツールを改良したものです。80以上のブラウザ拡張機能からクッキーやパスワードを盗み出し、MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLINK、MultiverseXなどの主要ウォレットを標的にします。

このトロイの木馬はバックドアを開き、スクリーンショット撮影、ファイル操作、ブラウザデータの窃取、システムへの潜伏などを行います。

北朝鮮系ハッカーは4月にも偽装採用テストを利用し、Bybitから14億ドルを盗み出す事件を起こしています。感染PDFや悪意あるリンクを使った同様の手口も確認されています。

「Famous Chollima」または「Wagemole」として知られるこのグループは2019年以降、仮想通貨ウォレットの侵害で数百万ドルを盗んでいます。目的は明確で、有効な認証情報を取得し、静かに資金を移動させることです。

セキュリティチームは警戒を強めています。専門家は、URLのスペルミスや不審なドメインを確認し、信頼できるチャネルを通じて求人情報を検証するよう推奨しています。

エンドポイント検知ツールでリモートサーバーを呼び出すスクリプトを検知し、多要素認証で盗まれたパスワードによる完全アクセスを防ぐことが重要です。

この事件は、国家関与のハッカーが仮想通貨を盗むためにいかに巧妙な手口を使うかを示しています。ソーシャルエンジニアリングとカスタムマルウェアの組み合わせは極めて危険です。ブロックチェーン業界での求職活動では全てのリンクを慎重に確認し、未検証のコードを実行しないことが重要です。

ハードウェアウォレットをオフラインで保管し、求職活動用に別プロファイルを使用することでリスクを軽減できます。採用プロセスにおける警戒と堅牢な技術的対策が、進化する脅威に対する最良の防御手段です。

特記画像：Shutterstock、チャート：TradingView

翻訳：W0lfP4ck