Kuzey Koreli Hackerlar, İş Başvurularında Gizlenmiş Kötü Amaçlı Yazılımlarla Üst Düzey Kripto Şirketlerini Hedef Alıyor

Kuzey Koreli bir hacker grubunun, sahte bir iş başvuru sürecinin parçası olarak gizlenmiş Python tabanlı kötü amaçlı yazılımla kripto çalışanlarını hedef aldığı, Cisco Talos araştırmacıları tarafından bu hafta açıklandı.

Açık kaynaklı sinyallere göre, çoğu kurbanın Hindistan merkezli olduğu ve blok zinciri ile kripto para startup'larında önceki deneyimi olan bireyler olduğu görülüyor.

Cisco, iç sistemlerde bir ihlal kanıtı olmadığını bildirse de, daha geniş risk açık: Bu çabalar, bu bireylerin sonunda katılabileceği şirketlere erişim sağlamaya çalışıyor.

PylangGhost adlı kötü amaçlı yazılım, daha önce belgelenen GolangGhost uzaktan erişim truva atının (RAT) yeni bir varyantı ve aynı özelliklerin çoğunu paylaşıyor — sadece Windows sistemlerini daha iyi hedeflemek için Python'da yeniden yazılmış.

Mac kullanıcıları Golang versiyonundan etkilenmeye devam ederken, Linux sistemlerinin etkilenmediği görülüyor. Famous Chollima olarak bilinen ve 2024 ortalarından beri aktif olan tehdit aktörünün, Kuzey Kore ile bağlantılı bir grup olduğuna inanılıyor.

Son saldırı vektörü basit: Coinbase, Robinhood ve Uniswap gibi üst düzey kripto şirketlerini taklit eden son derece profesyonel sahte kariyer siteleri oluşturmak ve yazılım mühendislerini, pazarlamacıları ve tasarımcıları aşamalı "beceri testlerini" tamamlamaya çekmek.

Bir hedef temel bilgileri doldurup teknik soruları yanıtladıktan sonra, terminaline bir komut yapıştırarak sahte video sürücülerini yüklemeye yönlendiriliyor. Bu, sessizce Python tabanlı RAT'ı indirip başlatıyor.

Yük, yeniden adlandırılmış Python yorumlayıcısını (nvidia.py), arşivi açmak için bir Visual Basic betiğini ve kalıcılık, sistem parmak izi alma, dosya transferi, uzaktan kabuk erişimi ve tarayıcı veri hırsızlığından sorumlu altı Çekirdek modülünü içeren bir ZIP dosyasında gizlenmiş.

RAT, MetaMask, Phantom, TronLink ve 1Password dahil 80'den fazla eklentiden giriş bilgilerini, oturum çerezlerini ve cüzdan verilerini çekiyor.

Komut seti, dosya yükleme, indirme, sistem keşfi ve bir kabuk başlatma dahil olmak üzere enfekte makinelerin tam uzaktan kontrolüne izin veriyor — tümü RC4 şifreli HTTP paketleri üzerinden yönlendiriliyor.

RC4 şifreli HTTP paketleri, internet üzerinden gönderilen ve RC4 adı verilen eski bir şifreleme yöntemi kullanılarak karıştırılmış verilerdir. Bağlantının kendisi güvenli olmasa da (HTTP), içindeki veriler şifrelenmiştir, ancak RC4'ün günümüz standartlarına göre eski ve kolayca kırılabilir olması nedeniyle pek iyi değildir.

Cisco'ya göre, bir yeniden yazma olmasına rağmen, PylangGhost'un yapısı ve adlandırma kuralları, GolangGhost ile neredeyse aynı, bu da muhtemelen her ikisinin de aynı operatör tarafından yazıldığını gösteriyor.

Çeviren: Sh1n0b1