Pohjois-Korean uhka kryptoteollisuudessa
Pohjois-Koreaan liitetty uhkaava toimija on kohdistunut kryptoteollisuuden työnhakijoihin uudella haittaohjelmalla, jonka tarkoituksena on varastaa salasanoja kryptovaluuttalompakoista ja salasanojen hallintatyökaluista. Cisco Talos raportoi keskiviikkona löytäneensä uuden Python-pohjaisen etäyhteys Troijalaista (RAT), jota se kutsuu nimellä PylangGhost.
Hakkerikollektiivi ”Famous Chollima”
Tämä haittaohjelma on yhdistetty Pohjois-Korean yhteydessä olevaan hakkerikollektiiviin, nimeltä Famous Chollima, joka tunnetaan myös nimellä Wagemole. Hakkeriryhmä kohdistaa hyökkäyksensä työnhakijoihin ja työntekijöihin, joilla on kokemusta kryptovaluutoista ja lohkoketjuteknologioista, pääasiassa Intiassa. Hyökkäykset toteutetaan valehaastattelujen kautta, käyttäen sosiaalista manipulointia.
”Erityisesti mainittujen työpaikkojen perusteella on selvää, että Famous Chollima kohdistaa laajasti yksilöihin, joilla on aiempaa kokemusta kryptovaluutoista ja lohkoketjuteknologioista.”
Vale työpaikat ja testit haittaohjelmien peitteenä
Hyökkääjät luovat väärennettyjä työnhakusivustoja, jotka esittävät itsensä aitoina yrityksinä, kuten Coinbase, Robinhood ja Uniswap. Uhrit ohjataan monivaiheiseen prosessiin, johon kuuluu ensikontakti vale-rekrytoijilta, jotka lähettävät kutsuja taitotestaussivustoille. Tietojen kerääminen tapahtuu näiden sivustojen kautta.
Sen jälkeen uhrit houkutellaan mahdollistamaan videon ja kameran käyttö valehaastatteluissa. Haastattelujen aikana heidät huijataan kopioimaan ja suorittamaan haitallisia komentoja väitettynä päivitettyjen videotukien asentamisena, mikä johtaa heidän laitteidensa vaarantumiseen.
Kuormitus kohdistaa kryptovaluuttalompakoita
PylangGhost on aiemmin dokumentoidun GolangGhost RAT:n variantti ja jakaa samanlaista toiminnallisuutta, Cisco Talos toteaa. Suorituskyvyn aikana komennot mahdollistavat infektoidun järjestelmän etäohjauksen sekä evästeiden ja henkilötietojen varastamisen yli 80 selainlaajennuksesta. Näihin sisältyvät salasanojen hallintatyökalut ja kryptovaluuttalompakot, kuten MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ja MultiverseX.
Moniajohaittaohjelma
Haittaohjelma voi suorittaa muita tehtäviä, kuten ottaa kuvakaappauksia, hallita tiedostoja, varastaa selaindataa, kerätä järjestelmätietoja ja ylläpitää etäyhteyttä infektoituihin järjestelmiin. Tutkijat huomauttivat myös, että on epätodennäköistä, että uhkaavat toimijat olisivat käyttäneet tekoälyn suurta kielimallia koodin kirjoittamiseen, perustuessaan sen sisältämiin kommentteihin.
Vale työtarjoukset eivät ole uusia
Tämä ei ole ensimmäinen kerta, kun Pohjois-Korean linkitetyt hakkerit ovat hyödyntäneet vale työntekijöitä ja haastatteluja houkutellakseen uhrejaan. Huhtikuussa Bybitin 1,4 miljardin dollarin ryöstöön liitetyt hakkerit kohdistuivat kryptokehittäjiin vale rekrytointitestien avulla, joita oli tartutettu haittaohjelmilla.
