Noord-Koreaanse hackers richten zich op toonaangevende cryptobedrijven met malware verborgen in sollicitaties

Een Noord-Koreaans hackgroep richt zich op cryptowerknemers met Python-gebaseerde malware, vermomd als onderdeel van een nep sollicitatieprocedure, aldus onderzoekers van Cisco Talos zei eerder deze week.

De meeste slachtoffers lijken gevestigd te zijn in India, volgens open-source signalen, en lijken individuen te zijn met eerdere ervaring in blockchain- en cryptocurrency-startups.

Hoewel Cisco meldt geen bewijs te hebben van interne compromittering, blijft het bredere risico duidelijk: dat deze pogingen gericht zijn op toegang tot de bedrijven waar deze personen mogelijk uiteindelijk werkzaam zullen zijn.

De malware, genaamd PylangGhost, is een nieuwe variant van de eerder gedocumenteerde GolangGhost remote access trojan (RAT) en deelt de meeste van dezelfde kenmerken — slechts herschreven in Python om Windows-systemen beter te kunnen targeten.

Mac-gebruikers blijven last houden van de Golang-versie, terwijl Linux-systemen schijnbaar onaangetast blijven. De dreigingsactor achter de campagne, bekend als Famous Chollima, is sinds medio 2024 actief en wordt beschouwd als een door de DPRK gesteunde groep.

Hun nieuwste aanvalsmethode is eenvoudig: zich voordoen als toonaangevende cryptobedrijven zoals Coinbase, Robinhood en Uniswap via zeer professioneel ogende nep-carrièrewebsites, en softwareontwikkelaars, marketeers en ontwerpers lokken om gesimuleerde “vaardigheidstests” af te leggen.

Zodra een doelwit basisinformatie invult en technische vragen beantwoordt, wordt hen gevraagd nepvideostuurprogramma’s te installeren door een opdracht in hun terminal te plakken, waarmee stilletjes de op Python gebaseerde RAT wordt gedownload en gestart.

De payload is verborgen in een ZIP-bestand dat de hernoemde Python-interpreter (nvidia.py), een Visual Basic-script om het archief uit te pakken, en zes kernmodules bevat die verantwoordelijk zijn voor persistentie, systeemafdrukking, bestandsoverdracht, externe shell-toegang en diefstal van browsergegevens.

De RAT verzamelt inloggegevens, sessiecookies en portemonneegegevens van meer dan 80 extensies, waaronder MetaMask, Phantom, TronLink en 1Password.

De opdrachtset maakt volledige externe controle van geïnfecteerde machines mogelijk, inclusief het uploaden en downloaden van bestanden, systeemverkenning en het starten van een shell — allemaal via RC4-versleutelde HTTP-pakketten geleid.

RC4-versleutelde HTTP-pakketten zijn gegevens die via het internet worden verzonden en versleuteld zijn met een verouderde encryptiemethode genaamd RC4. Hoewel de verbinding zelf niet beveiligd is (HTTP), zijn de gegevens binnenin wel versleuteld, maar niet erg goed, aangezien RC4 verouderd is en gemakkelijk te kraken valt volgens de huidige normen.

Hoewel het een herschrijving betreft, weerspiegelen de structuur en naamgevingsconventies van PylangGhost die van GolangGhost vrijwel exact, wat suggereert dat beide waarschijnlijk door dezelfde operator zijn geschreven, aldus Cisco.

Lees meer: Noord-Koreaanse hackers richten zich op crypto-ontwikkelaars via Amerikaanse schijnfirma's