Hackers Norte-Coreanos Estão Mirando Grandes Empresas de Criptomoedas Com Malware Oculto em Ofertas de Emprego

Um grupo de hackers norte-coreanos está mirando profissionais de criptomoedas com um malware baseado em Python disfarçado como parte de um falso processo de candidatura a emprego, afirmaram pesquisadores da Cisco Talos nesta semana.

A maioria das vítimas parece estar baseada na Índia, de acordo com sinais de código aberto, e são indivíduos com experiência prévia em startups de blockchain e criptomoedas.

Embora a Cisco não reporte evidências de comprometimento interno, o risco mais amplo permanece claro: esses esforços buscam obter acesso às empresas que esses indivíduos possam eventualmente integrar.

O malware, chamado PylangGhost, é uma nova variante do GolangGhost, um cavalo de troia de acesso remoto (RAT) previamente documentado, e compartilha a maioria das mesmas funcionalidades — apenas reescrito em Python para mirar melhor sistemas Windows.

Usuários de Mac continuam sendo afetados pela versão em Golang, enquanto sistemas Linux parecem não ser impactados. O agente por trás da campanha, conhecido como Famous Chollima, está ativo desde meados de 2024 e acredita-se que seja um grupo alinhado à Coreia do Norte.

Seu mais recente vetor de ataque é simples: impersonar grandes empresas de criptomoedas como Coinbase, Robinhood e Uniswap por meio de sites de carreira falsos altamente elaborados, e atrair engenheiros de software, profissionais de marketing e designers para completar "testes de habilidades" encenados.

Quando um alvo preenche informações básicas e responde a perguntas técnicas, é induzido a instalar drivers de vídeo falsos colando um comando no terminal, que discretamente baixa e executa o RAT baseado em Python.

A carga maliciosa está oculta em um arquivo ZIP que inclui o interpretador Python renomeado (nvidia.py), um script em Visual Basic para descompactar o arquivo e seis módulos Core responsáveis por persistência, identificação do sistema, transferência de arquivos, acesso remoto via shell e roubo de dados de navegadores.

O RAT extrai credenciais de login, cookies de sessão e dados de carteiras de mais de 80 extensões, incluindo MetaMask, Phantom, TronLink e 1Password.

O conjunto de comandos permite controle remoto total das máquinas infectadas, incluindo uploads, downloads de arquivos, reconhecimento do sistema e execução de um shell — tudo roteado por pacotes HTTP criptografados com RC4.

Pacotes HTTP criptografados com RC4 são dados enviados pela internet que são embaralhados usando um método de criptografia ultrapassado chamado RC4. Mesmo que a conexão em si não seja segura (HTTP), os dados internos são criptografados, mas não de forma eficaz, já que o RC4 é obsoleto e facilmente quebrável pelos padrões atuais.

Apesar de ser uma reescrita, a estrutura e as convenções de nomenclatura do PylangGhost espelham quase exatamente as do GolangGhost, sugerindo que ambos provavelmente foram criados pelo mesmo operador, disse a Cisco.

Traduzido por CardanoCrusader