Kripto İşleri Tehlikede: Kuzey Koreli Hackerlar Yeni Bir Kötü Amaçlı Yazılımla Yine Saldırdı
Cisco Talos'a göre, Kuzey Kore ile bağlantılı bir grup, Hindistan'daki kripto iş arayanları yeni bir Python tabanlı uzaktan erişim truva atıyla hedef almak için sessizce çabalarını artırdı.
Kampanya, sahte iş siteleri ve sahnelenmiş mülakatlar kullanarak adayları kötü amaçlı kod çalıştırmaya ikna ediyor. Kurbanlar, cüzdanlarının ve şifre yöneticilerinin anahtarlarını teslim etmek zorunda kalıyor.
Sahte İş Platformları
İş arayanlar, Coinbase, Robinhood ve Uniswap gibi büyük isimleri taklit eden ilanlarla cezbediliyor. İşe alım uzmanları LinkedIn veya e-posta yoluyla iletişime geçiyor. Adayları bir "beceri testi" sitesine davet ediyorlar. İlk başta masum görünüyor. Ancak perde arkasında site, sistem detaylarını ve tarayıcı bilgilerini topluyor.
Aldatıcı Mülakat Süreci
Testten sonra adaylar canlı bir video mülakata katılıyor. Kamera sürücülerini güncellemeleri söyleniyor. Hızlı bir hareketle, bir terminal penceresine komutları kopyalayıp yapıştırıyorlar. Tek bir tıklama ile PylangGhost yükleniyor. Kötü amaçlı yazılım devreye girene kadar her şey sorunsuz ilerliyor.
PylangGhost, daha önceki GolangGhost aracının bir varyasyonu. Etkin hale geldiğinde, 80'den fazla tarayıcı eklentisinden çerezleri ve şifreleri çalıyor. Bu liste MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ve MultiverseX'i içeriyor.
Truva atı daha sonra uzaktan kontrol için bir arka kapı açıyor. Ekran görüntüleri alabilir, dosyaları yönetebilir, tarayıcı verilerini çalabilir ve sistemde gizli bir varlık sürdürebilir.
Kuzey Koreli hackerlar, 1.4 milyar dolarlık Bybit soygunundan önce Nisan ayında sahte bir işe alım testi kullandı. Ayrıca, enfekte PDF'ler ve kötü amaçlı bağlantılarla benzer numaralar denediler.
Famous Chollima veya Wagemole olarak bilinen bu grup, 2019'dan beri kripto cüzdan ihlalleriyle milyonlar çaldı. Amaçları basit: geçerli kimlik bilgilerini elde etmek ve sessizce fonları TAŞIMAK.
Sektörün Aldığı ÖnlemlerGüvenlik ekipleri alarmda. Her URL'nin yazım hataları ve garip alan adları için kontrol edilmesini öneriyorlar. Uzmanlar, iş tekliflerinin güvenilir kanallar üzerinden doğrulanmasını söylüyor.
Uç nokta tespit araçları, uzak sunucuları çağıran herhangi bir komut dosyasını işaretlemeli. Çok faktörlü kimlik doğrulama ise çalınan şifrelerin tam erişim sağlamasını engelleyebilir.
Bu uyarı, devlet bağlantılı aktörlerin kripto varlıkları çalmak için ne kadar ileri gidebileceğini gösteriyor. Sosyal mühendislik ve özel kötü amaçlı yazılım kombinasyonu güçlü bir risk oluşturuyor. Blockchain'de iş arayan herkes her BAĞLANTIYI iki kez kontrol etmeli ve doğrulanmamış kodu asla çalıştırmamalı.
Donanım cüzdanlarını çevrimdışı tutmak ve iş arama için ayrı profiller kullanmak maruziyeti azaltabilir. İşe alım sürecinde dikkatli olmak ve sağlam teknik kontroller, bu gelişen tehditlere karşı en iyi savunma olmaya devam ediyor.
Öne çıkan görsel Shutterstock'tan, grafik TradingView'dan
Çeviren: X1a0
