Поділитися цією статтею
Північнокорейські хакери спрямовують атаки на провідні крипто-компанії, приховуючи шкідливе програмне забезпечення у заявках на роботу
Група, пов’язана з КНДР, використовує фейкові сайти з вакансіями та шкідливе програмне забезпечення на Python для проникнення у Windows-системи професіоналів у сфері блокчейну — кінцевою метою є крадіжка облікових даних та віддалений доступ.
Що варто знати:
- Північнокорейська хакерська група використовує шкідливе програмне забезпечення на базі Python, замасковане під фальшиві заявки на роботу, щоб націлитися на працівників криптоіндустрії.
- Шкідливе програмне забезпечення PylangGhost є варіантом GolangGhost і має на меті проникати до компаній шляхом компрометації окремих осіб.
- Зловмисники видають себе за провідні криптокомпанії та заманюють жертв встановити шкідливе програмне забезпечення через фальшиві тести навичок.
Північнокорейська хакерська група здійснює атаки на працівників криптосфери за допомогою шкідливого програмного забезпечення на основі Python, замаскованого під частину фальшивого процесу подачі заявки на роботу, повідомляють дослідники з Cisco Talosраніше заявив цього тижня.
Більшість жертв, згідно з відкритими джерелами, зазвичай проживають в Індії та, здається, є особами з попереднім досвідом у блокчейн- та криптовалютних стартапах.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
Хоча Cisco не повідомляє про докази внутрішнього порушення безпеки, загальний ризик залишається очевидним: ці спроби націлені на отримання доступу до компаній, до яких ці особи можуть у майбутньому приєднатися.
Шкідливе програмне забезпечення під назвою PylangGhost є новим варіантом раніше задокументованого віддаленого трояна GolangGhost (RAT) і має більшість тих самих функцій — просто переписане на Python для кращого націлювання на системи Windows.
Користувачі Mac продовжують зазнавати впливу через версію Golang, тоді як системи Linux, здається, не постраждали. Загрозливий актор за кампанією, відомий як Famous Chollima, активний з середини 2024 року і вважається групою, пов’язаною з КНДР.
Їхній останній вектор атаки простий: видавати себе за провідні криптокомпанії, такі як Coinbase, Robinhood та Uniswap, створюючи високоякісні підроблені сайти кар’єр, та залучати програмістів, маркетологів і дизайнерів до проходження інсценованих «тестів на навички».
Як тільки ціль вводить базову інформацію та відповідає на технічні питання, їй пропонують встановити фальшиві відеодрайвери, вставивши команду у свій термінал, яка непомітно завантажує та запускає RAT на базі Python.
Виконавчий файл прихований у ZIP-архіві, який містить перейменований інтерпретатор Python (nvidia.py), скрипт Visual Basic для розпакування архіву та шість основних модулів, відповідальних за забезпечення стійкості, системне фреймпринтинг, передачу файлів, віддалений доступ до оболонки та викрадення даних браузера.
RAT витягує облікові дані для входу, сесійні кукі та дані гаманців із понад 80 розширень, включаючи MetaMask, Phantom, TronLink та 1Password.
Набір команд дозволяє повний віддалений контроль над зараженими машинами, включаючи завантаження файлів, їх скачування, розвідку системи та запуск оболонки — все це здійснюється через HTTP-пакети, зашифровані RC4.
Пакети HTTP, зашифровані за допомогою RC4, — це дані, які передаються через інтернет і зашифровані застарілим методом шифрування під назвою RC4. Хоча саме з’єднання не є безпечним (HTTP), дані всередині зашифровані, але недостатньо надійно, оскільки RC4 є застарілим і легко зламується за сучасними стандартами.
Незважаючи на те, що це переписування, структура та назви PylangGhost майже точно повторюють ті, що використані у GolangGhost, що свідчить про те, що обидва, ймовірно, були створені одним і тим самим оператором, за словами Cisco.
Читати далі: Північнокорейські хакери націлюються на розробників криптовалют за допомогою американських підставних компаній
Більше для вас
Що варто знати:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Протокол: Тестова мережа Stripe Tempo запущена
Також: ZKSync Lite припинить роботу, оновлення додатку Blockstream, AgentFlux від Axelar
What to know:
Ця стаття представлена в останньому випуску Протокол, наш щотижневий інформаційний бюлетень, який досліджує технології, що стоять за криптовалютою, блок за блоком. Зареєструйтеся тут отримуйте це у свою поштову скриньку щосереди.
