Compartilhe este artigo
Hackers Norte-Coreanos Estão Alvejando Principais Empresas de Cripto com Malware Oculto em Candidaturas de Emprego
Um grupo ligado à RPDC está utilizando sites falsos de emprego e malware em Python para infiltrar sistemas Windows de profissionais de blockchain — com o roubo de credenciais e o acesso remoto como objetivo final.
O que saber:
- Um grupo de hackers da Coreia do Norte está utilizando malwares baseados em Python disfarçados como falsas candidaturas de emprego para atacar profissionais do setor cripto.
- O malware, PylangGhost, é uma variante do GolangGhost e tem como objetivo infiltrar-se em empresas por meio da comprometimento de indivíduos.
- Atacantes se passam por principais empresas de criptomoedas e atraem vítimas para instalar malware por meio de testes falsos de habilidades.
Um grupo de hackers norte-coreano está direcionando profissionais de criptomoedas com um malware baseado em Python disfarçado como parte de um processo falso de candidatura a emprego, segundo pesquisadores da Cisco Talos afirmou anteriormente esta semana.
A maioria das vítimas parece estar localizada na Índia, de acordo com sinais de código aberto, e parecem ser indivíduos com experiência prévia em startups de blockchain e criptomoedas.
A História Continua abaixo
Embora a Cisco não reporte evidências de comprometimento interno, o risco mais amplo permanece claro: que esses esforços buscam obter acesso às empresas às quais esses indivíduos possam eventualmente se juntar.
O malware, denominado PylangGhost, é uma nova variante do trojan de acesso remoto (RAT) GolangGhost previamente documentado, e compartilha a maioria das mesmas funcionalidades — apenas reescrito em Python para melhor direcionar sistemas Windows.
Usuários de Mac continuam sendo afetados pela versão do Golang, enquanto os sistemas Linux aparentam não ser afetados. O agente da ameaça por trás da campanha, conhecido como Famous Chollima, está ativo desde meados de 2024 e acredita-se que seja um grupo alinhado à RPDC.
O vetor mais recente de ataque é simples: se passar por grandes empresas de criptomoedas como Coinbase, Robinhood e Uniswap por meio de sites de carreiras falsos, porém altamente elaborados, e atrair engenheiros de software, profissionais de marketing e designers para completarem “testes de habilidades” encenados.
Uma vez que um alvo preenche as informações básicas e responde a perguntas técnicas, ele é orientado a instalar drivers de vídeo falsos colando um comando em seu terminal, que discretamente baixa e executa o RAT baseado em Python.
A carga útil está oculta em um arquivo ZIP que inclui o interpretador Python renomeado (nvidia.py), um script Visual Basic para descompactar o arquivo e seis módulos principais responsáveis pela persistência, identificação do sistema, transferência de arquivos, acesso remoto via shell e roubo de dados do navegador.
O RAT coleta credenciais de login, cookies de sessão e dados de carteira de mais de 80 extensões, incluindo MetaMask, Phantom, TronLink e 1Password.
O conjunto de comandos permite o controle remoto completo de máquinas infectadas, incluindo upload e download de arquivos, reconhecimento do sistema e execução de um shell — tudo roteado através de pacotes HTTP criptografados com RC4.
Pacotes HTTP criptografados com RC4 são dados enviados pela internet que são embaralhados usando um método de criptografia desatualizado chamado RC4. Embora a conexão em si não seja segura (HTTP), os dados internos estão criptografados, porém não de forma eficaz, pois o RC4 é obsoleto e facilmente quebrado pelos padrões atuais.
Apesar de ser uma reescrita, a estrutura e as convenções de nomenclatura do PylangGhost refletem quase exatamente as do GolangGhost, sugerindo que ambos provavelmente foram criados pelo mesmo operador, afirmou a Cisco.
Leia mais: Hackers Norte-Coreanos Alvo de Desenvolvedores de Cripto com Empresas de Fachada nos EUA
Mais para você
O que saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mais para você
A Drift da Solana Lança a v3, Com Negociações 10x Mais Rápidas
Com a v3, a equipe afirma que cerca de 85% das ordens de mercado serão preenchidas em menos de meio segundo, e a liquidez se aprofundará o suficiente para reduzir o slippage em negociações maiores para cerca de 0,02%.
O que saber:
- Drift, uma das maiores plataformas de negociação de contratos perpétuos na Solana, lançou o Drift v3, uma atualização significativa destinada a tornar a negociação on-chain tão rápida e fluida quanto o uso de uma exchange centralizada.
- A nova versão oferecerá uma execução de negociações 10 vezes mais rápida graças a uma reconstrução da infraestrutura backend, marcando o maior salto de desempenho que o projeto realizou até agora.
Principais Histórias
