朝鲜黑客正在引诱加密专业人士参加精心设计的虚假工作面试,旨在窃取他们的数据并在他们的设备上部署复杂的恶意软件。
一种名为“PylangGhost”的新型基于 Python 的远程访问木马,将恶意软件与朝鲜附属黑客组织“Famous Chollima”联系起来,该组织也被称为“ 瓦格莫尔 ”威胁情报研究公司思科 Talos 已报道 周三。
该公司写道:“根据招聘广告,很明显 Famous Chollima 的目标客户是具有加密货币和区块链技术经验的个人。”
该活动主要针对印度的加密货币和区块链专业人士,使用冒充合法公司的欺诈性求职网站,包括 Coinbase、Robinhood 和 Uniswap。
该计划首先由虚假招聘人员将求职者引导至技能测试网站,受害者在该网站上输入个人信息并回答技术问题。
完成评估后,考生将被要求启用摄像头访问权限以进行视频面试,然后被提示复制并执行伪装成视频驱动程序安装的恶意命令。
Digital South Trust 主管 Dileep Kumar H V 表示, 解密 为了打击这些骗局,“印度必须强制对区块链公司进行网络安全审计,并监控虚假的求职门户网站。”
提高认识的迫切需要
他说:“印度计算机应急响应小组 (CERT-In) 应该发布红色警报,而印度经济和科技部 (MEITY) 和印度国家互联网信息保护中心 (NCIIPC) 必须加强跨境网络犯罪的全球协调。”他呼吁在《信息技术法》下制定“更强有力的法律规定”,并“开展数字意识运动”。
新发现的 PylangGhost 恶意软件可以从 80 多个浏览器扩展中窃取凭据和会话 cookie,包括流行的密码管理器和加密钱包,例如 Metamask、1Password、NordPass 和 Phantom。
该木马建立对受感染系统的持续访问并从命令和控制服务器执行远程命令。
此次最新行动符合朝鲜的 以加密货币为重点的网络犯罪的更广泛模式 其中包括臭名昭著的拉撒路集团 (Lazarus Group),该集团对业内一些最大的盗窃案负有责任。
除了直接从交易所窃取资金外,该政权现在还针对个人专业人士收集情报,并可能从内部渗透加密货币公司。
该组织至少从 2023 年开始通过“传染性面试”和“欺骗性开发”等活动进行基于招聘的攻击,目标是 GitHub、Upwork 和 CryptoJobsList 等平台上的加密开发人员。
安装盒
今年早些时候,朝鲜黑客建立了虚假的美国公司 BlockNovas LLC 和 SoftGlide LLC,通过虚假的求职面试传播恶意软件 在 FBI 查封 BlockNovas 域名之前 .
PylangGhost 恶意软件在功能上与之前记录的 GolangGhost RAT 相同,具有许多相同的功能。
基于 Python 的变体专门针对 Windows 系统,而 Golang 版本则继续针对 macOS 用户。值得注意的是,Linux 系统被排除在最新的攻击活动之外。
据报道,攻击者维护着数十个虚假的求职网站和下载服务器,其域名设计得看似合法,例如“quickcamfix.online”和“autodriverfix online”。
一个关节 陈述 日本、韩国和美国的情报机构证实,包括 Lazarus 在内的朝鲜支持的组织在 2024 年通过多次加密货币盗窃至少 6.59 亿美元。
2024 年 12 月,价值 5000 万美元的 Radiant Capital 黑客攻击事件开始,当时朝鲜特工冒充 前承包商 并向工程师发送了含有恶意软件的 PDF。
同样,加密货币交易所 Kraken 在 5 月份透露,它成功识别并阻止了一名朝鲜特工申请 IT职位 ,当申请人在面试过程中未能通过基本身份验证测试时,就会被抓住。
编辑 塞巴斯蒂安·辛克莱
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.baidudian.cn/324181.html
