Северокорейские хакеры атакуют ведущие криптокомпании с помощью вредоносного ПО, скрытого в предложениях о работе

Северокорейская хакерская группа использует вредоносное ПО на базе Python, замаскированное под часть фальшивого процесса трудоустройства, чтобы атаковать сотрудников криптоиндустрии, сообщили исследователи Cisco Talos на этой неделе.

Большинство жертв, согласно открытым данным, находятся в Индии и, по-видимому, имеют опыт работы в блокчейн- и криптовалютных стартапах.

Хотя Cisco не сообщает о доказательствах внутреннего взлома, общий риск очевиден: эти атаки направлены на получение доступа к компаниям, в которые эти специалисты могут устроиться в будущем.

Вредоносное ПО, названное PylangGhost, является новой версией ранее известного трояна GolangGhost и сохраняет большинство функций, но переписано на Python для более эффективной атаки на системы Windows.

Пользователи Mac продолжают подвергаться атакам версии на Golang, в то время как системы Linux остаются незатронутыми. Группа хакеров, известная как Famous Chollima, активна с середины 2024 года и считается связанной с КНДР.

Их последний метод атаки прост: они создают поддельные сайты карьеры, имитирующие ведущие криптокомпании, такие как Coinbase, Robinhood и Uniswap, и заманивают инженеров, маркетологов и дизайнеров на прохождение фальшивых «тестов навыков».

После заполнения базовой информации и ответов на технические вопросы жертве предлагается установить поддельные видеодрайверы, введя команду в терминал, что незаметно загружает и запускает троян на Python.

Вредоносная нагрузка скрыта в ZIP-архиве, содержащем переименованный интерпретатор Python (nvidia.py), скрипт на Visual Basic для распаковки архива и шесть основных модулей, отвечающих за устойчивость, сбор данных о системе, передачу файлов, удаленный доступ и кражу данных из браузеров.

Троян извлекает логины, пароли, куки-сессии и данные кошельков из более чем 80 расширений, включая MetaMask, Phantom, TronLink и 1Password.

Набор команд позволяет злоумышленникам полностью контролировать зараженные машины, включая загрузку и выгрузку файлов, сбор системной информации и запуск командной строки — все это передается через RC4-зашифрованные HTTP-пакеты.

Несмотря на переписывание кода, структура и названия PylangGhost почти идентичны GolangGhost, что указывает на одного и того же автора, отмечает Cisco.

Перевод: QuantumBTC