Empregos em Cripto em Perigo: Hackers Norte-Coreanos Atacam Novamente Com Novo Malware

De acordo com a Cisco Talos, um grupo alinhado à Coreia do Norte intensificou discretamente os esforços para atingir caçadores de empregos em criptomoedas na Índia com um novo cavalo de troia de acesso remoto baseado em Python.

A campanha usa sites de empregos falsos e entrevistas encenadas para enganar candidatos a executar código malicioso. As vítimas acabam entregando as chaves de suas carteiras e gerenciadores de senhas.

Plataformas de Empregos Falsas

Os candidatos são atraídos por anúncios que imitam grandes nomes como Coinbase, Robinhood e Uniswap. Recrutadores entram em contato através do LinkedIn ou e-mail. Eles convidam os candidatos para um site de "teste de habilidades". Parece inofensivo no início. Nos bastidores, o site está coletando detalhes do sistema e informações do navegador.

Processo de Entrevista Enganoso

Após o teste, os candidatos participam de uma entrevista ao vivo por vídeo. Eles são orientados a atualizar os drivers da câmera. Em um movimento rápido, copiam e colam comandos em uma janela de terminal. Um clique e o PylangGhost é instalado. Todo o esquema funciona sem problemas—até que o malware assume o controle.

O PylangGhost é uma variação da ferramenta GolangGhost anterior. Uma vez ativo, ele rouba cookies e senhas de mais de 80 extensões de navegador. Esta lista inclui MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e MultiverseX.

O cavalo de troia então abre uma porta dos fundos para controle remoto. Ele pode capturar telas, gerenciar arquivos, roubar dados do navegador e manter uma presença oculta no sistema.

Hackers norte-coreanos usaram um teste de recrutamento falso em abril antes do roubo de US$ 1,4 bilhão da Bybit. E eles já tentaram truques semelhantes com PDFs infectados e links maliciosos.

Este grupo—conhecido como Famous Chollima ou Wagemole—roubou milhões por meio de violações de carteiras de criptomoedas desde 2019. Seu objetivo é simples: obter credenciais válidas e depois MOVER fundos silenciosamente.

As equipes de segurança estão em alerta. Elas recomendam verificar cada URL em busca de erros de ortografia e domínios estranhos. Especialistas dizem para verificar ofertas de emprego através de canais confiáveis.

Ferramentas de detecção de endpoint devem sinalizar qualquer script que chame servidores remotos. E a autenticação multifator pode bloquear senhas roubadas de dar acesso total.

Este alerta mostra até onde atores ligados a estados irão para roubar ativos em criptomoedas. A combinação de engenharia social e malware personalizado é um risco potente. Qualquer pessoa em busca de trabalho em blockchain deve verificar cada LINK e nunca executar código não verificado.

Manter carteiras de hardware offline e usar perfis separados para a busca de empregos pode reduzir a exposição. Vigilância no processo de contratação e controles técnicos sólidos continuam sendo a melhor defesa contra essas ameaças em evolução.

Imagem destacada da Shutterstock, gráfico da TradingView

Traduzido por DigitalGold7