Хакери з КНДР атакують криптофахівців через фейкові інтерв’ю

Північнокорейські хакери компрометують девайси фахівців з криптовалют, використовуючи фальшиві співбесіди та шкідливе ПЗ PylangGhost — Python-троян для віддаленого доступу. Про це повідомили дослідники з Cisco Talos.

За їх словами, до атаки причетне угруповання Famous Chollima (також відоме як Wagemole), яке видає себе за рекрутерів відомих компаній, зокрема Coinbase, Robinhood і Uniswap. Основна ціль — криптоспеціалісти з Індії, які шукають роботу.

Зловмисники надсилають кандидатам запрошення пройти технічне випробування на сайті, а після завершення просять надати доступ до вебкамери для нібито відеоінтерв’ю. Потім жертвам пропонують запустити шкідливий код під виглядом встановлення драйверів.

Згідно зі звітом, хакери підтримують десятки підроблених сайтів, які маскуються під легітимні сервіси.

Виявлений троян здатен красти облікові дані та cookies з понад 80 браузерних розширень, зокрема менеджерів паролів і криптогаманців: Metamask, 1Password, NordPass, Phantom та інших. Шкідливе ПЗ забезпечує постійний доступ до інфікованих систем і може виконувати команди з віддаленого контрольного сервера зловмисників.

PylangGhost функціонально повторює відомий GolangGhost RAT. Обидва трояни мають схожі можливості, але орієнтовані на різні ОС: Python-версія — на Windows, тоді як Golang — на macOS. Linux-інфраструктура поки поза радіусом атак.

Атака є частиною ширшої стратегії хакерів Famous Chollima, націленої на криптобізнеси. За даними Cisco Talos, схожі кампанії — Contagious Interview та DeceptiveDevelopment — тривають з 2023 року. Хакери діють на GitHub, Upwork та інших платформах, створюючи фейкові пропозиції роботи та сторінки з тестами для перевірки професійних навичок.

Нагадаємо, у травні біржа Kraken виявила північнокорейського агента, який намагався влаштуватися до компанії на позицію IT-фахівця, але провалив перевірку під час інтерв’ю.