朝鲜黑客利用新型恶意软件“PylangGhost”针对加密货币专业人士实施招聘骗局

近日，网络安全研究人员揭露了一种新型攻击手段：朝鲜黑客正通过虚假的招聘面试窃取加密货币专业人士的数据，并在其设备上部署复杂的恶意软件。

这种名为“PylangGhost”的远程访问木马（RAT）基于 Python 编写，并与朝鲜附属黑客组织“Famous Chollima”相关联。该组织也被称为“瓦格莫尔”，其活动已被思科 Talos 威胁情报研究公司于本周三报道。

根据该公司发布的报告，“从招聘广告来看，Famous Chollima 的目标是具有加密货币和区块链技术经验的专业人士。”

这一行动主要针对印度的加密货币和区块链行业，黑客通过伪造知名公司的求职网站（如 Coinbase、Robinhood 和 Uniswap）吸引受害者。

诈骗流程始于虚假招聘人员引导求职者进入技能测试网站。在这些平台上，受害者会被要求输入个人信息并回答技术问题。

完成评估后，求职者将被提示启用摄像头权限以进行视频面试，随后被诱导复制并执行伪装成视频驱动程序安装的恶意命令。

Digital South Trust 主管 Dileep Kumar H V 表示，为了打击此类骗局，“印度需强制对区块链企业进行网络安全审计，同时监控虚假的求职门户网站。”

提高认识的迫切需要

他呼吁印度计算机应急响应小组 (CERT-In) 发布红色警报，并建议经济和科技部 (MEITY) 及国家互联网信息保护中心 (NCIIPC) 加强跨境网络犯罪的全球协调。此外，他还强调应制定更严格的《信息技术法》规定，并开展数字安全意识宣传活动。

新发现的 PylangGhost 恶意软件能够从 80 多个浏览器扩展中窃取凭据和会话 cookie，包括流行的密码管理器及加密钱包，例如 Metamask、1Password、NordPass 和 Phantom。

该木马不仅建立对受感染系统的持续访问，还能通过命令和控制服务器执行远程指令。

此次行动符合朝鲜以加密货币为重点的网络犯罪模式，其中包括臭名昭著的拉撒路集团 (Lazarus Group)，该组织曾参与多起大规模加密货币盗窃事件。

除了直接窃取交易所资金外，朝鲜黑客还瞄准个人专业人士收集情报，甚至试图渗透加密货币公司内部。

自 2023 年以来，该组织通过“传染性面试”和“欺骗性开发”等活动，针对 GitHub、Upwork 和 CryptoJobsList 等平台上的加密开发者实施基于招聘的攻击。

安装盒

今年早些时候，朝鲜黑客创建了虚假的美国公司 BlockNovas LLC 和 SoftGlide LLC，通过虚假求职面试传播恶意软件，直到 FBI 查封了 BlockNovas 的域名。

PylangGhost 在功能上与之前记录的 GolangGhost RAT 十分相似，但 PylangGhost 基于 Python 编写，专门针对 Windows 系统；而 GolangGhost 则继续针对 macOS 用户。值得注意的是，Linux 系统未成为最新攻击的目标。

据报道，攻击者维护着数十个虚假求职网站和下载服务器，其设计看似合法，例如“quickcamfix.online”和“autodriverfix online”。

一份联合声明显示，日本、韩国和美国的情报机构确认，包括 Lazarus 在内的朝鲜支持组织在 2024 年通过多次加密货币盗窃至少窃得 6.59 亿美元。

2024 年 12 月，价值 5000 万美元的 Radiant Capital 黑客事件便是由朝鲜特工冒充前承包商并向工程师发送含有恶意软件的 PDF 文件引发的。

同样，加密货币交易所 Kraken 在 5 月份透露，成功识别并阻止了一名朝鲜特工申请 IT 职位的企图——当申请人在面试过程中未能通过基本身份验证测试时，便被当场识破。

编辑塞巴斯蒂安·辛克莱