แฮ็กเกอร์เกาหลีเหนือโจมตีบริษัทคริปโตชั้นนำด้วยมัลแวร์แฝงในใบสมัครงาน

กลุ่มแฮ็กเกอร์จากเกาหลีเหนือกำลังกำหนดเป้าหมายไปที่พนักงานในอุตสาหกรรมคริปโตด้วยมัลแวร์ที่เขียนด้วย Python ซึ่งถูกซ่อนอยู่ในกระบวนการสมัครงานปลอม นักวิจัยจาก Cisco Talos เปิดเผยเมื่อต้นสัปดาห์นี้

จากสัญญาณโอเพนซอร์ส ส่วนใหญ่เหยื่อดูเหมือนจะอยู่ในอินเดีย และดูเหมือนจะเป็นบุคคลที่มีประสบการณ์ในการทำงานกับสตาร์ทอัพด้านบล็อกเชนและคริปโตเคอร์เรนซีมาก่อน

แม้ว่า Cisco จะรายงานว่าไม่พบหลักฐานการโจมตีภายใน แต่ความเสี่ยงโดยรวมยังคงชัดเจน: ความพยายามเหล่านี้มุ่งหวังที่จะเข้าถึงบริษัทที่บุคคลเหล่านี้อาจเข้าร่วมในอนาคต

มัลแวร์นี้มีชื่อว่า PylangGhost เป็นเวอร์ชันใหม่ของ GolangGhost ซึ่งเป็นโทรจันระยะไกล (RAT) ที่เคยถูกบันทึกไว้ก่อนหน้านี้ และมีคุณสมบัติส่วนใหญ่เหมือนกัน เพียงแต่ถูกเขียนใหม่ด้วย Python เพื่อกำหนดเป้าหมายระบบ Windows ได้ดีขึ้น

ผู้ใช้ Mac ยังคงได้รับผลกระทบจากเวอร์ชัน Golang ในขณะที่ระบบ Linux ดูเหมือนจะไม่ได้รับผลกระทบ กลุ่มผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ มีชื่อว่า Famous Chollima ซึ่งเริ่มดำเนินการมาตั้งแต่กลางปี 2024 และเชื่อว่าเป็นกลุ่มที่เกี่ยวข้องกับเกาหลีเหนือ

เวกเตอร์การโจมตีล่าสุดของพวกเขาง่ายมาก: แอบอ้างเป็นบริษัทคริปโตชั้นนำเช่น Coinbase, Robinhood และ Uniswap ผ่านเว็บไซต์งานปลอมที่ดูสมจริง และล่อลวงวิศวกรซอฟต์แวร์, นักการตลาด, และนักออกแบบให้ทำแบบทดสอบทักษะที่จัดเตรียมไว้

เมื่อเป้าหมายกรอกข้อมูลพื้นฐานและตอบคำถามทางเทคนิคแล้ว พวกเขาจะถูกกระตุ้นให้ติดตั้งไดรเวอร์วิดีโอปลอมโดยการวางคำสั่งลงในเทอร์มินัล ซึ่งจะดาวน์โหลดและเรียกใช้ RAT ที่เขียนด้วย Python อย่างเงียบๆ

เพย์โหลดถูกซ่อนอยู่ในไฟล์ ZIP ซึ่งรวมถึง Python interpreter ที่ถูกเปลี่ยนชื่อ (nvidia.py), สคริปต์ Visual Basic เพื่อแตกไฟล์, และโมดูล Core จำนวน 6 ตัวที่รับผิดชอบในการคงอยู่, การระบุระบบ, การถ่ายโอนไฟล์, การเข้าถึงเชลล์ระยะไกล, และการขโมยข้อมูลจากเบราว์เซอร์

RAT นี้ขโมยข้อมูลล็อกอิน, คุกกี้เซสชัน, และข้อมูลวอลเล็ตจากส่วนขยายมากกว่า 80 ตัว รวมถึง MetaMask, Phantom, TronLink, และ 1Password

ชุดคำสั่งอนุญาตให้ควบคุมเครื่องที่ติดเชื้อได้เต็มรูปแบบ รวมถึงการอัปโหลดไฟล์, ดาวน์โหลดไฟล์, การตรวจสอบระบบ, และการเรียกใช้เชลล์ — ทั้งหมดถูกส่งผ่านแพ็กเก็ต HTTP ที่เข้ารหัสด้วย RC4

แพ็กเก็ต HTTP ที่เข้ารหัสด้วย RC4 คือข้อมูลที่ส่งผ่านอินเทอร์เน็ตซึ่งถูกเข้ารหัสโดยใช้วิธีการเข้ารหัสที่ล้าสมัยชื่อ RC4 แม้ว่าการเชื่อมต่อเองจะไม่ปลอดภัย (HTTP) แต่ข้อมูลภายในถูกเข้ารหัส แต่ไม่ดีนัก เนื่องจาก RC4 นั้นล้าสมัยและถูกร้าวได้ง่ายด้วยมาตรฐานในปัจจุบัน

แม้ว่าจะเป็นการเขียนใหม่ แต่โครงสร้างและรูปแบบการตั้งชื่อของ PylangGhost นั้นสะท้อน GolangGhost เกือบจะเหมือนกันทุกประการ ซึ่งแสดงให้เห็นว่าทั้งสองน่าจะถูกเขียนโดยผู้ดำเนินการคนเดียวกัน Cisco กล่าว

ผู้แปล: ChainWolfX