Die nordkoreanischen Hacker von Famous Chollima hatten es auf Kryptoexperten abgesehen und sie mit gefälschten Vorstellungsgesprächen angegriffen, um deren Daten zu stehlen und Schadsoftware auf ihren Geräten zu installieren. Die Schadsoftware entwendetedentvon über 80 Browsererweiterungen, darunter Passwortmanager und Krypto-Wallets wie Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink und MultiverseX.
berichtete das Bedrohungsanalyseunternehmen Cisco Talos, dass Famous Chollima sich als legitime Unternehmen ausgab und ahnungslose Opfer auf Webseiten mit Kompetenztests weiterleitete, wo die Opfer persönliche Daten angaben und technische Fragen beantworteten.
Die Skill-Testing-Websites gaben sich fälschlicherweise als echte Unternehmen wie Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap und andere aus, was die gezielte Ansprache erleichterte.
Laut öffentlich zugänglichen Informationen waren nur wenige Nutzer, vorwiegend in Indien, betroffen. Dileep Kumar HV, Direktor von Digital South Belief, empfahl, dass Indien zur Bekämpfung dieser Betrügereien Cybersicherheitsprüfungen für Blockchain-Unternehmen vorschreiben und gefälschte Jobportale überwachen sollte. Er forderte außerdem einetronglobale Koordination im Kampf gegen grenzüberschreitende Cyberkriminalität und Kampagnen zur Förderung des digitalen Bewusstseins.
Talos verfolgt den Betrug weiter und bestätigt eine Verbindung zu Nordkorea.
🚨 ACHTUNG: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲
𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg
— Mayank Dudeja (@imcryptofreak) 20. Juni 2025
Das Cybersicherheitsforschungsunternehmen Cisco Talos behauptete, dass der neue, auf Python basierende Fernzugriffstrojaner „PylangGhost“ Malware mit einem nordkoreanischen Hackerkollektiv namens „Famous Chollima“, auch bekannt als „Wagemole“, in Verbindung bringe.
Das Unternehmen gab außerdem bekannt, dass die PylangGhost-Malware funktional mit der zuvor dokumentierten GolangGhost-RAT identisch ist und viele ihrer Fähigkeiten teilt. Der bekannte Chollima-Angreifer nutzte die Python-basierte Variante, um Windows-Systeme anzugreifen, während die Golang-Version macOS-Nutzer im Visier hatte. Linux-Systeme waren von diesen jüngsten Angriffen nicht betroffen.
Laut Talos ist die Bedrohungsakteurgruppe seit 2024 aktiv und hat mehrere gut dokumentierte Kampagnen durchgeführt. Diese Kampagnen umfassten den Einsatz von Varianten des sogenannten „Contagious Interview“ (auch bekannt als „Deceptive Development“) sowie die Erstellung gefälschter Stellenanzeigen und Testseiten. Nutzer wurden angewiesen, eine schädliche Befehlszeile per ClickFix zu kopieren und einzufügen, um die für den abschließenden Test notwendigen Treiber zu installieren.
Die im Mai aufgedeckten Kandidaten des jüngsten Betrugsfalls wurden angewiesen, den Kamerazugriff für ein Videointerview zu aktivieren und anschließend Schadcode zu kopieren und auszuführen, der als Installation von Videotreibern getarnt war. Dadurch nutzten sie PylangGhost auf ihren Geräten. Die Ausführung begann mit der Datei „nvidia.py“, die mehrere Aufgaben erfüllte: Sie erstellte einen Registry-Wert, um die RAT (Remote Access Trojan) bei jeder Benutzeranmeldung zu starten, generierte eine GUID für das System zur Kommunikation mit dem Command-and-Control-Server (C2), stellte die Verbindung zum C2-Server her und trat in die Befehlsschleife für die Serverkommunikation ein.
Laut Cisco Talos unterscheiden sich die Anweisungen zum Herunterladen des angeblichen Fixes je nach Browser-Fingerprinting und werden in der jeweils passenden Shell-Sprache für das Betriebssystem angegeben: PowerShell oder Command Shell für Windows und Bash für MacOS.
Talos stellte fest, dass die Hacker von Famous Chollima sich in letzter Zeit nicht nur auf den direkten Diebstahl von Geldern von Kryptobörsen konzentrierten, sondern auch Kryptoexperten ins Visier nahmen, um Informationen zu sammeln und möglicherweise Kryptofirmen von innen heraus zu infiltrieren. Anfang des Jahres nordkoreanische Hacker gefälschte US-Unternehmen, BlockNovas LLC und SoftGlide LLC, um Schadsoftware über betrügerische Vorstellungsgespräche zu verbreiten, bevor das FBI die Domain von BlockNovas beschlagnahmte.
Nordkorea entwickelt sich zu einem Zentrum für berüchtigte Hackerangriffe.
Im Dezember 2024 begann , bei dem 50 Millionen US-Dollar erbeutet wurden. Nordkoreanische Akteure gaben sich als ehemalige trac und verschickten mit Schadsoftware infizierte PDFs an Ingenieure. Die Täter teilten eine ZIP-Datei unter dem Vorwand, Feedback zu einem neuen Projekt einzuholen.
In einer gemeinsamen Erklärung bestätigten Japan, Südkorea und die USA, dass von Nordkorea unterstützte Gruppen, darunter Lazarus, im Jahr 2024 durch mehrere Kryptodiebstähle mindestens 659 Millionen US-Dollar erbeutet haben. Die Gesandten stellten fest, dass die im Ausland tätigen Nordkoreaner, darunter IT-Spezialisten, die an „bösartigen Cyberaktivitäten“ beteiligt sind, maßgeblich dazu beitragen, dass das Regime seine Waffenprogramme durch Diebstahl und Geldwäsche, einschließlich Kryptowährungen, finanzieren kann.
bei Chainalysis, bestätigte, dass Hacker mit Verbindungen zu Nordkorea in den letzten Jahren mit Abstand die aktivsten Krypto-Hacker waren. Im Jahr 2022 brachen sie ihre eigenen Diebstahlrekorde und erbeuteten bei mehreren Hacks Kryptowährungen im Wert von schätzungsweise 1,7 Milliarden US-Dollar, verglichen mit 428,8 Millionen US-Dollar im Jahr 2021.
Im Mai gab die Kryptobörse Kraken , einen nordkoreanischen Agenten, der sich auf eine IT-Stelle beworben hatte, erfolgreich dent dent während der Vorstellungsgespräche durchfiel.
