北韓駭客鎖定頂尖加密貨幣公司 惡意軟體藏身假求職申請中

根據思科Talos研究團隊本週公布報告，北韓駭客組織正透過偽裝成假求職流程的Python惡意軟體，鎖定加密貨幣從業人員發動攻擊。

開源信號顯示，多數受害者位於印度，且多數具有區塊鏈與加密貨幣新創公司工作經驗。

雖然思科報告指出尚未發現內部系統遭入侵證據，但整體風險顯而易見：這些攻擊企圖透過個人端滲透其未來可能任職的企業。

這款名為PylangGhost的惡意軟體，是先前已記錄的GolangGhost遠端存取木馬(RAT)的新變種，具備幾乎相同的功能特徵——只是改以PYTHon編寫以更有效攻擊Windows系統。

Mac用戶仍會受Golang版本影響，Linux系統則似乎不受波及。代號「FamouS Chollima」的幕後黑手自2024年中開始活躍，被認為是北韓支持的駭客組織。

其最新攻擊手法相當直白：假冒Coinbase、Robinhood和Uniswap等頂尖加密企業建立精緻假徵才網站，誘使軟體工程師、行銷人員與設計師完成階段性「技能測驗」。

當目標對象填寫基本資料並回答技術問題後，會被引導在終端機貼上指令安裝假顯卡驅動程式，此舉將暗中下載並執行Python版RAT。

惡意負載隱藏在ZIP壓縮檔中，包含更名後的Python直譯器(nvidia.py)、用於解壓縮的Visual Basic腳本，以及六個核心模組——分別負責持久化、系統指紋採集、檔案傳輸、遠端Shell存取與瀏覽器資料竊取。

該RAT會從MetaMask、Phantom、TronLINK及1Password等80餘款擴充套件中竊取登入憑證、工作階段Cookie與錢包資料。

指令集允許對感染設備進行完整遠端控制，包含檔案上傳下載、系統偵查與Shell啟動——所有通訊皆透過RC4加密的HTTP封包傳輸。

RC4加密HTTP封包是指使用過時的RC4加密演算法傳輸的網路資料。雖然連線本身未加密(HTTP)，但內部資料經過弱加密處理——以當今標準而言，RC4已可輕易被破解。

思科指出，儘管是改寫版本，PylangGhost的結構與命名慣例幾乎完全複製GolangGhost，顯示兩者很可能出自同一開發者之手。

——翻譯作者 QuantumRider