Kuzey Koreli Hackerlar, İş Başvurularında Gizlenen Kötü Amaçlı Yazılımlarla Önde Gelen Kripto Firmalarını Hedef Alıyor

Kuzey Koreli bir hacker grubu, sahte bir iş başvuru sürecinin parçası olarak gizlenmiş Python tabanlı bir kötü amaçlı yazılımla kripto çalışanlarını hedef alıyor. Cisco Talos araştırmacıları bu durumu geçtiğimiz hafta açıkladı.

Açık kaynaklı sinyallere göre, çoğu kurbanın Hindistan merkezli olduğu ve blockchain ile kripto para startup'larında önceki deneyimi olan bireyler olduğu görülüyor.

Cisco'nun raporunda herhangi bir iç sistem ihlali kanıtı bulunmamakla birlikte, genel risk açık: Bu çabalar, bireylerin sonunda katılabileceği şirketlere erişim sağlamaya çalışıyor olabilir.

PylangGhost adlı kötü amaçlı yazılım, daha önce belgelenen GolangGhost uzaktan erişim truva atının (RAT) yeni bir varyantı ve aynı özelliklerin çoğunu paylaşıyor — sadece Windows sistemlerini daha iyi hedeflemek için Python ile yeniden yazılmış.

Mac kullanıcıları Golang versiyonundan etkilenmeye devam ederken, Linux sistemlerinin etkilenmediği görülüyor. Famous Chollima olarak bilinen ve bu kampanyanın arkasındaki tehdit aktörü, 2024 ortalarından beri aktif ve Kuzey Kore ile bağlantılı bir grup olduğuna inanılıyor.

En son saldırı vektörü basit: Coinbase, Robinhood ve Uniswap gibi önde gelen kripto firmalarını taklit ederek son derece profesyonel sahte kariyer siteleri oluşturmak ve yazılım mühendislerini, pazarlamacıları ve tasarımcıları aşamalı "beceri testlerini" tamamlamaya çekmek.

Hedef, temel bilgileri doldurup teknik soruları yanıtladıktan sonra, terminale bir komut yapıştırarak sahte video sürücülerini yüklemeye yönlendiriliyor. Bu, sessizce Python tabanlı RAT'ı indirip çalıştırıyor.

Yük, yeniden adlandırılmış Python yorumlayıcısını (nvidia.py), arşivi açmak için bir Visual Basic betiğini ve kalıcılık, sistem parmak izi alma, dosya transferi, uzaktan kabuk erişimi ve tarayıcı veri hırsızlığından sorumlu altı Çekirdek modülünü içeren bir ZIP dosyasında gizlenmiş.

RAT, MetaMask, Phantom, TronLink ve 1Password dahil 80'den fazla eklentiden giriş bilgilerini, oturum çerezlerini ve cüzdan verilerini çekiyor.

Komut seti, dosya yükleme, indirme, sistem keşfi ve bir kabuk başlatma dahil olmak üzere enfekte olmuş makinelerin tam uzaktan kontrolüne izin veriyor — tümü RC4 şifreli HTTP paketleri üzerinden yönlendiriliyor.

RC4 şifreli HTTP paketleri, internet üzerinden gönderilen ve RC4 adı verilen eski bir şifreleme yöntemi kullanılarak karıştırılmış verilerdir. Bağlantının kendisi güvenli olmasa da (HTTP), içindeki veriler şifrelenmiştir, ancak RC4'ün günümüz standartlarına göre kolayca kırılabilir olması nedeniyle pek iyi değildir.

Cisco'ya göre, PylangGhost'un yapısı ve adlandırma kuralları, GolangGhost ile neredeyse aynı, bu da muhtemelen her ikisinin de aynı operatör tarafından yazıldığını gösteriyor.

Çeviri: Hatt0ri