北朝鲜黑客正在诱骗加密货币专业人士参与精心设计的虚假面试,目的是窃取他们的数据并在他们的设备上部署复杂的恶意软件。
一款名为“PylangGhost”的新型基于Python的远程访问木马,将恶意软件与一个名为“著名的千里马”(Famous Chollima)的北朝鲜关联黑客团体联系在一起,该团体也被称为“Wagemole”,威胁情报研究公司Cisco Talos在周三报告中指出。
“根据广告职位,显然著名的千里马广泛针对具有加密货币和区块链技术经验的个人,”该公司写道。
该活动主要针对印度的加密货币和区块链专业人士,使用假冒合法公司的虚假招聘网站,包括Coinbase、Robinhood和Uniswap。
该计划从假招聘人员开始,指引求职者前往技能测试网站,受害者在此输入个人信息并回答技术问题。
完成评估后,候选人被指示启用摄像头访问进行视频面试,然后被提示复制并执行伪装成视频驱动程序安装的恶意命令。
Digital South Trust的董事Dileep Kumar H V告诉Decrypt,为了应对这些骗局,“印度必须强制对区块链公司进行网络安全审计,并监控虚假招聘门户网站。”
提高意识的迫切需要
“CERT-In应该发布红色警报,而MEITY和NCIIPC必须加强对跨境网络犯罪的全球协调,”他说,并呼吁在《信息技术法》下制定“更强的法律条款”和“数字意识宣传活动”。
新发现的PylangGhost恶意软件可以窃取超过80个浏览器扩展的凭证和会话cookie,包括流行的密码管理器和加密钱包,如Metamask、1Password、NordPass和Phantom。
该木马在感染的系统上建立持久访问,并从指挥和控制服务器执行远程命令。
这一最新行动与北朝鲜更广泛的以加密货币为中心的网络犯罪模式一致,其中包括臭名昭著的拉撒路集团(Lazarus Group),该集团负责一些行业最大的盗窃案。
除了直接从交易所窃取资金外,该政权现在还针对个别专业人士以收集情报,并可能从内部渗透加密公司。
该团体自2023年以来一直通过“传染性面试”(Contagious Interview)和“欺骗性开发”(DeceptiveDevelopment)等活动进行基于招聘的攻击,目标是GitHub、Upwork和CryptoJobsList等平台上的加密开发者。
案件激增
今年早些时候,北朝鲜黑客建立了虚假的美国公司——BlockNovas LLC和SoftGlide LLC,通过虚假招聘面试分发恶意软件在FBI查封BlockNovas域名之前。
PylangGhost恶意软件在功能上等同于之前记录的GolangGhost RAT,具有许多相同的能力。
基于Python的变体专门针对Windows系统,而Golang版本则继续针对macOS用户。Linux系统显著地被排除在这些最新活动之外。
根据报告,攻击者维护着数十个虚假招聘网站和下载服务器,域名设计得看起来合法,如“quickcamfix.online”和“autodriverfix online”。
日本、韩国和美国的联合声明确认,北朝鲜支持的团体,包括拉撒路集团(Lazarus),在2024年通过多次加密货币盗窃至少窃取了6.59亿美元。
2024年12月,5000万美元的Radiant Capital黑客事件开始时,北朝鲜特工假装成前承包商,向工程师发送了含有恶意软件的PDF文件。
同样,加密货币交易所Kraken在5月透露,它成功识别并挫败了一名申请IT职位的北朝鲜特工,在面试中该申请者未能通过基本的身份验证测试时被抓获。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
