Північнокорейські хакери спрямовують атаки на провідні крипто-компанії, приховуючи шкідливе програмне забезпечення у заявках на роботу

Північнокорейська хакерська група здійснює атаки на працівників криптосфери за допомогою шкідливого програмного забезпечення на основі Python, замаскованого під частину фальшивого процесу подачі заявки на роботу, повідомляють дослідники з Cisco Talosраніше заявив цього тижня.

Більшість жертв, згідно з відкритими джерелами, зазвичай проживають в Індії та, здається, є особами з попереднім досвідом у блокчейн- та криптовалютних стартапах.

Хоча Cisco не повідомляє про докази внутрішнього порушення безпеки, загальний ризик залишається очевидним: ці спроби націлені на отримання доступу до компаній, до яких ці особи можуть у майбутньому приєднатися.

Шкідливе програмне забезпечення під назвою PylangGhost є новим варіантом раніше задокументованого віддаленого трояна GolangGhost (RAT) і має більшість тих самих функцій — просто переписане на Python для кращого націлювання на системи Windows.

Користувачі Mac продовжують зазнавати впливу через версію Golang, тоді як системи Linux, здається, не постраждали. Загрозливий актор за кампанією, відомий як Famous Chollima, активний з середини 2024 року і вважається групою, пов’язаною з КНДР.

Їхній останній вектор атаки простий: видавати себе за провідні криптокомпанії, такі як Coinbase, Robinhood та Uniswap, створюючи високоякісні підроблені сайти кар’єр, та залучати програмістів, маркетологів і дизайнерів до проходження інсценованих «тестів на навички».

Як тільки ціль вводить базову інформацію та відповідає на технічні питання, їй пропонують встановити фальшиві відеодрайвери, вставивши команду у свій термінал, яка непомітно завантажує та запускає RAT на базі Python.

Виконавчий файл прихований у ZIP-архіві, який містить перейменований інтерпретатор Python (nvidia.py), скрипт Visual Basic для розпакування архіву та шість основних модулів, відповідальних за забезпечення стійкості, системне фреймпринтинг, передачу файлів, віддалений доступ до оболонки та викрадення даних браузера.

RAT витягує облікові дані для входу, сесійні кукі та дані гаманців із понад 80 розширень, включаючи MetaMask, Phantom, TronLink та 1Password.

Набір команд дозволяє повний віддалений контроль над зараженими машинами, включаючи завантаження файлів, їх скачування, розвідку системи та запуск оболонки — все це здійснюється через HTTP-пакети, зашифровані RC4.

Пакети HTTP, зашифровані за допомогою RC4, — це дані, які передаються через інтернет і зашифровані застарілим методом шифрування під назвою RC4. Хоча саме з’єднання не є безпечним (HTTP), дані всередині зашифровані, але недостатньо надійно, оскільки RC4 є застарілим і легко зламується за сучасними стандартами.

Незважаючи на те, що це переписування, структура та назви PylangGhost майже точно повторюють ті, що використані у GolangGhost, що свідчить про те, що обидва, ймовірно, були створені одним і тим самим оператором, за словами Cisco.

Читати далі: Північнокорейські хакери націлюються на розробників криптовалют за допомогою американських підставних компаній