朝鮮利用新型惡意軟件攻擊加密貨幣專業人士進行招聘詐騙

朝鮮黑客正在引誘加密專業人士參加精心設計的虛假工作面試，旨在竊取他們的數據並在他們的設備上部署複雜的惡意軟件。

一種名為“PylangGhost”的新型基於 PYTHon 的遠程訪問木馬，將惡意軟件與朝鮮附屬黑客組織“Famous Chollima”聯繫起來，該組織也被稱為“瓦格莫爾”威脅情報研究公司思科 Talos已報導 週三。

該公司寫道：“根據招聘廣告，很明顯 Famous Chollima 的目標客戶是具有加密貨幣和區塊鏈技術經驗的個人。”

該活動主要針對印度的加密貨幣和區塊鏈專業人士，使用冒充合法公司的欺詐性求職網站，包括 Coinbase、Robinhood 和 Uniswap。

該計劃首先由虛假招聘人員將求職者引導至技能測試網站，受害者在該網站上輸入個人信息並回答技術問題。

完成評估後，考生將被要求啟用攝像頭訪問權限以進行視頻面試，然後被提示複製並執行偽裝成視頻驅動程序安裝的惡意命令。

Digital South Trust 主管 Dileep KumAR H V 表示，解密為了打擊這些騙局，“印度必須強制對區塊鏈公司進行網絡安全審計，並監控虛假的求職門戶網站。”

提高認識的迫切需要

他說：“印度計算機應急響應小組 (CERT-In) 應該發布紅色警報，而印度經濟和科技部 (MEITY) 和印度國家互聯網信息保護中心 (NCIIPC) 必須加強跨境網絡犯罪的全球協調。”他呼籲在《信息技術法》下制定“更強有力的法律規定”，並“開展數字意識運動”。

新發現的 PylangGhost 惡意軟件可以從 80 多個瀏覽器擴展中竊取憑據​​和會話 cookie，包括流行的密碼管理器和加密錢包，例如 Metamask、1Password、NordPass 和 PhantOM。

該木馬建立對受感染系統的持續訪問並從命令和控制服務器執行遠程命令。

此次最新行動符合朝鮮的以加密貨幣為重點的網絡犯罪的更廣泛模式其中包括臭名昭著的拉撒路集團 (Lazarus Group)，該集團對業內一些最大的盜竊案負有責任。

除了直接從交易所竊取資金外，該政權現在還針對個人專業人士收集情報，並可能從內部滲透加密貨幣公司。

該組織至少從 2023 年開始通過“傳染性面試”和“欺騙性開發”等活動進行基於招聘的攻擊，目標是 GitHub、UpWork 和 CryptoJobsList 等平台上的加密開發人員。

安裝盒

今年早些時候，朝鮮黑客建立了虛假的美國公司 BlockNovas LLC 和 SoftGlide LLC，通過虛假的求職面試傳播惡意軟件在 FBI 查封 BlockNovas 域名之前.

PylangGhost 惡意軟件在功能上與之前記錄的 GolangGhost RAT 相同，具有許多相同的功能。

基於 Python 的變體專門針對 Windows 系統，而 Golang 版本則繼續針對 macOS 用戶。 值得注意的是，Linux 系統被排除在最新的攻擊活動之外。

據報導，攻擊者維護著數十個虛假的求職網站和下載服務器，其域名設計得看似合法，例如“quickcamfix.online”和“autodriverfix online”。

一個關節陳述日本、韓國和美國的情報機構證實，包括 Lazarus 在內的朝鮮支持的組織在 2024 年通過多次加密貨幣盜竊至少 6.59 億美元。

2024 年 12 月，價值 5000 萬美元的 radiant capital 黑客攻擊事件開始，當時朝鮮特工冒充前承包商並向工程師發送了含有惡意軟件的 PDF。

同樣，加密貨幣交易所 Kraken 在 5 月份透露，它成功識別並阻止了一名朝鮮特工申請IT職位，當申請人在面試過程中未能通過基本身份驗證測試時，就會被抓住。

編輯塞巴斯蒂安·辛克萊