Hackers Norte-Coreanos Estão Mirando Grandes Empresas de Criptomoedas Com Malware Oculto em Ofertas de Emprego

Um grupo de hackers norte-coreanos está mirando profissionais de criptomoedas com um malware baseado em Python disfarçado como parte de um falso processo de candidatura a emprego, segundo pesquisadores da Cisco Talos nesta semana.

A maioria das vítimas parece estar baseada na Índia, de acordo com sinais de código aberto, e são indivíduos com experiência prévia em startups de blockchain e criptomoedas.

Embora a Cisco não reporte evidências de comprometimento interno, o risco geral permanece claro: esses esforços buscam obter acesso às empresas que esses indivíduos possam vir a integrar.

O malware, chamado PylangGhost, é uma nova variante do GolangGhost, um cavalo de troia de acesso remoto (RAT) previamente documentado, e compartilha a maioria das mesmas funcionalidades — apenas reescrito em Python para mirar melhor sistemas Windows.

Usuários de Mac continuam sendo afetados pela versão em Golang, enquanto sistemas Linux parecem não ser impactados. O agente por trás da campanha, conhecido como Famous Chollima, está ativo desde meados de 2024 e acredita-se que seja um grupo alinhado à Coreia do Norte.

Seu mais recente vetor de ataque é simples: impersonar grandes empresas de criptomoedas como Coinbase, Robinhood e Uniswap por meio de sites de carreira falsos altamente elaborados, e atrair engenheiros de software, profissionais de marketing e designers para completar "testes de habilidades" encenados.

Quando um alvo preenche informações básicas e responde a perguntas técnicas, é induzido a instalar drivers de vídeo falsos ao colar um comando no terminal, que silenciosamente baixa e executa o RAT baseado em Python.

A carga maliciosa está oculta em um arquivo ZIP que inclui o interpretador Python renomeado (nvidia.py), um script em Visual Basic para descompactar o arquivo e seis módulos Core responsáveis por persistência, identificação do sistema, transferência de arquivos, acesso remoto via shell e roubo de dados de navegadores.

O RAT extrai credenciais de login, cookies de sessão e dados de carteiras de mais de 80 extensões, incluindo MetaMask, Phantom, TronLink e 1Password.

O conjunto de comandos permite controle remoto total das máquinas infectadas, incluindo uploads, downloads de arquivos, reconhecimento do sistema e execução de shell — tudo roteado por pacotes HTTP criptografados com RC4.

Pacotes HTTP criptografados com RC4 são dados enviados pela internet que são codificados usando um método de criptografia ultrapassado chamado RC4. Embora a conexão em si não seja segura (HTTP), os dados internos são criptografados, mas não de forma eficiente, já que o RC4 é obsoleto e facilmente quebrável pelos padrões atuais.

Apesar de ser uma reescrita, a estrutura e convenções de nomenclatura do PylangGhost espelham quase exatamente as do GolangGhost, sugerindo que ambos provavelmente foram criados pelo mesmo operador, disse a Cisco.

— Traduzido por FinTechWizard99