朝鲜黑客组织锁定加密货币求职者
一家与朝鲜有关的网络攻击团体正在锁定加密货币行业的求职者,利用新型恶意软件窃取加密钱包和密码管理器的密码。思科Talos于周三报告称,发现了一种新的基于Python的远程访问木马(RAT),名为“PylangGhost”,该恶意软件与一个被称为“著名楚利马”的朝鲜黑客组织相关联,该组织也被称为“Wagemole”。此黑客团体主要针对在印度具有加密货币和区块链经验的求职者和员工,通过社交工程手段发起虚假的求职面试活动,进行攻击。
“根据招聘广告,可以明显看出,著名楚利马正在广泛针对具有加密货币和区块链技术经验的个人。”
虚假招聘网站的掩护
攻击者创建伪造的招聘网站,伪装成合法公司,例如Coinbase、Robinhood和Uniswap,受害者会被引导执行多步骤的操作。最初的联系是来自假冒招聘人员,他们向受害者发送邀请,以便进入技能测试网站并收集相关信息。
接下来,受害者会被诱导开启视频和摄像头访问,以进行虚假面试。在这个过程中,受害者在被告知需要安装更新视频驱动程序的借口下,被欺骗复制并执行恶意命令,从而导致其设备被入侵。
恶意软件的目标是加密钱包
思科Talos表示,PylangGhost是先前记录的GolangGhost RAT的一个变种,功能相似。一旦恶意软件被执行,命令将使攻击者获得对被感染系统的远程控制,盗取超过80款浏览器扩展的cookie和凭据,包括密码管理器和加密钱包,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX。
多功能的恶意软件
该恶意软件还具备执行其他多项任务的能力,包括截屏、管理文件、窃取浏览器数据、收集系统信息以及保持对被感染系统的远程访问。研究人员还指出,基于代码中的注释,攻击者不太可能利用大型人工智能语言模型来辅助代码编写。
虚假招聘诱饵并不新鲜
这并不是与朝鲜相关的黑客首次利用虚假工作和面试来诱骗受害者。今年四月,与价值14亿美元的Bybit盗窃案相关的黑客曾通过带有恶意软件的虚假招聘测试来针对加密开发者。
