思科Talos：北韓新型威脅『PylangGhost』透過假求職網站鎖定加密貨幣從業者

思科威脅情報組織Cisco Talos偵測到一款新型PYTHon惡意軟體『PylangGhost』，與北韓黑客組織Famous Chollima有關聯。

根據Cisco Talos最新部落格文章，PylangGhost專門被北韓相關網路威脅行為者用於滲透尋找加密貨幣產業職位的求職者硬體設備。

PylangGhoSt是一種新型基於Python的遠端存取木馬，其功能類似於Cisco Talos在2024年12月發現的GolangGhost RAT。

最近，這家網路安全公司發現它已被黑客組織Famous Chollima積極用於滲透Windows系統，同時繼續為MacOS用戶部署基於Golang的版本。截至目前，開源數據顯示大多數受該惡意軟體影響的受害者位於印度。

Famous Chollima也被暱稱為「Wagemole」，因為他們反覆嘗試竊取密碼、滲透用戶的加密錢包，以及通過線上假職位空缺獲取其他敏感資訊。

北韓黑客如何鎖定受害者？

根據報告，該黑客組織通過社交工程的假面試活動引誘受害者。攻擊者會創建冒充主要加密公司的假求職網站，包括Coinbase、Robinhood和Uniswap等。

受害者隨後被要求參與由假招聘人員發起的多個步驟。他們會被邀請打開虛假的技能測試網站，在那裡收集他們的個人資訊。

在準備假面試時，用戶會被誘騙授予網站訪問其攝像頭和麥克風的權限。在此階段，假招聘人員會要求他們複製並執行惡意命令，藉口是安裝更新的視頻驅動程式。

命令執行後，惡意軟體便能滲透他們的設備。該命令啟用受感染設備的遠端控制訪問，並授予攻擊者訪問超過80個瀏覽器擴充功能的cookie和憑證。

這些包括對密碼管理器和加密錢包的訪問，包括MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX。

正如加密貨幣領域在四月所報導的，另一個北韓黑客組織LazARus Group也使用了類似方法引誘用戶。攻擊者會部署假職位申請，並至少檢測到三種與北韓網路行動相關的惡意軟體。

——翻譯作者 QuantumRider