Gli hacker nordcoreani, famosi chollima, hanno preso di mira esperti di criptovalute con falsi interviste di lavoro progettate per rubare i loro dati e distribuire malware sui loro dispositivi. Il malware Stole Credentials da oltre 80 estensioni del browser, tra cui gestori di password e portafogli crittografici come Metamask, 1Password, Nordpass, Phantom, Bitski, Initia, TronLink e Multiversex.
Mercoledì, la società di ricerca sull'intelligence di minaccia Cisco Talos ha riferito che il famoso Chollima si è presentato come società legittime e ha diretto vittime ignari a siti Web di test di abilità in cui le vittime entravano in dettagli personali e hanno risposto a domande tecniche.
I siti di test di competenza hanno fronteggiato falsamente aziende reali come Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap e altri, che hanno contribuito al targeting.
Solo pochi utenti, prevalentemente in India, sono stati colpiti in base all'intelligenza open source. Dileep Kumar HV, direttore di Digital South Belief, ha consigliato che per contrastare queste truffe, l'India dovrebbe imporre audit di sicurezza informatica per le società blockchain e monitorare i falsi portali di lavoro. Ha anche chiesto il coordinamento globale di StronGer su campagne criminali transfrontalieri e coscienza digitale.
Talos segue la truffa e conferma una connessione nordcoreana
🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲
𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 𝘀𝗶𝘁𝗲𝘀 - 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1zg
- Mayank Dudeja (@imcryptofreak) 20 giugno 2025
La società di ricerca sulla sicurezza informatica Cisco Talos ha affermato che il nuovo Trojan a remoto Access con sede a Python chiamato "Pylangghost" collegava malware a un collettivo di hacking affiliato a nordcoreto chiamato "CHOM CHOLLIMA", noto anche come "Wagemole".
L'azienda ha anche rivelato che il malware di Pylangghost era funzionalmente equivalente al ratto Golangghost precedentemente documentato, condividendo molte delle stesse capacità. La famosa Chollima ha utilizzato la variante basata su Python per target i sistemi Windows, mentre la versione di Golang mirava agli utenti MacOS. I sistemi Linux sono stati esclusi da questi ultimi attacchi.
Secondo Talos, il gruppo di attore minaccia è attivo dal 2024 attraverso diverse campagne ben documentate. Queste campagne includevano l'utilizzo di varianti di intervista contagiosa (ovvero lo sviluppo ingannevole) e la creazione di annunci di lavoro falsi e pagine di test di abilità. Agli utenti è stato chiesto di copiare e incollare (ClickFix) una riga di comando dannosa per installare i driver necessari per condurre la fase finale di test di abilità.
I candidati nell'ultimo schema scoperto a maggio sono stati istruiti a consentire l'accesso alla telecamera per un colloquio video e hanno richiesto di copiare ed eseguire comandi dannosi mascherati da installazioni di driver video. Pertanto, hanno finito per usare Pylangghost nei loro gadget. L'esecuzione è iniziata con il file "nvidia.py", che ha eseguito diverse attività: ha creato un valore di registro per avviare il ratto ogni volta che un utente ha effettuato l'accesso al sistema, ha generato un GUID per il sistema da utilizzare nella comunicazione con il server Comando e Controllo (C2), connesso al server C2 e ha inserito il loop di comando per la comunicazione con il server.
Secondo Cisco Talos, "Le istruzioni per il download della corretta correzione sono diverse in base all'impronta digitale del browser e anche fornite in linguaggio di shell appropriato per il sistema operativo: PowerShell o comando Shell per Windows e Bash per macOS".
Talos ha osservato che, a parte il furto di fondi direttamente dagli scambi, i famosi hacker di Chollima si sono concentrati recentemente sui professionisti delle criptovalute per raccogliere informazioni e possibilmente infiltrarsi nelle criptovalute dall'interno. All'inizio di quest'anno, gli hacker nordcoreani hanno istituito false aziende statunitensi, Blocknovas LLC e Softglide LLC, per distribuire malware attraverso interviste di lavoro fraudolente prima che l'FBI abbia sequestrato il dominio Blocknovas.
La Corea del Nord emerge come un hub per i famigerati schemi di hacking
Nel dicembre 2024, l'hack di Capital da $ 50 milioni iniziò quando gli attori della DPRK nordcoreana si posarono come ex Contrac trac e inviarono PDF carichi di malware agli ingegneri. L'impersonatore (i) ha condiviso un file zip con il pretesto di chiedere feedback su un nuovo progetto a cui stavano lavorando.
A joint statement from Japan, South Korea, and the US also confirmed that North Korean-backed groups, including Lazarus, stole at least $659 million through multiple crypto heists in 2024. The envoys noted that North Korea's overseas workers, including IT specialists engaged in “malicious cyber activities,” were a major factor in the regime's ability to finance its weapons programs through the theft and laundering of funds, including crypto.
Colatalisi VP delle indagini Erin Plante ha confermato che gli hacker collegati alla Corea del Nord sono stati di gran lunga i più prolifici hacker di criptovalute negli ultimi anni. Nel 2022, hanno frantumato i propri record per furto, rubando una criptola per un valore di $ 1,7 miliardi stimati in diversi hack, rispetto ai $ 428,8 milioni nel 2021.
Tuttavia, a maggio, Crypto Exchange Kraken ha rivelato che aveva avuto successo dent e contrastato un agente nordcoreano che aveva richiesto una posizione IT. Kraken ha catturato il richiedente quando hanno fallito i test di verifica di base dent le interviste.
Cryptolitan Academy: Vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con DeFi nella nostra prossima webclass. Salva il tuo posto
