Gli hacker nordcoreani Famous Chollima hanno preso di mira esperti di criptovalute con falsi colloqui di lavoro progettati per rubare i loro dati e installare malware sui loro dispositivi. Il malware ha rubatodentda oltre 80 estensioni del browser, inclusi gestori di password e portafogli crittografici come Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e MultiverseX.
Mercoledì, la società di ricerca sulle minacce informatiche Cisco Talos ha riferito che Famous Chollima si è spacciata per aziende legittime e ha indirizzato le vittime ignare verso siti web di verifica delle competenze, dove le vittime hanno inserito dati personali e risposto a domande tecniche.
I siti di verifica delle competenze si presentavano falsamente come aziende reali come Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap e altre, il che ha contribuito a prendere di mira gli hacker.
Solo pochi utenti, prevalentemente in India, sono stati colpiti, secondo quanto riportato da fonti di intelligence open source. Dileep Kumar HV, Direttore di Digital South Belief, ha suggerito che, per contrastare queste truffe, l'India dovrebbe imporre audit di sicurezza informatica per le aziende blockchain e monitorare i falsi portali di lavoro. Ha inoltre chiesto un coordinamento globale piùtronsulle campagne di contrasto alla criminalità informatica transfrontaliera e di sensibilizzazione digitale.
Talos dà seguito alla truffa e conferma un collegamento con la Corea del Nord
🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲
𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg
— Mayank Dudeja (@imcryptofreak) 20 giugno 2025
La società di ricerca sulla sicurezza informatica Cisco Talos ha affermato che il nuovo trojan di accesso remoto basato su Python denominato "PylangGhost" collega il malware a un collettivo di hacker affiliato alla Corea del Nord chiamato "Famous Chollima", noto anche come "Wagemole"
L'azienda ha inoltre rivelato che il malware PylangGhost era funzionalmente equivalente al RAT GolangGhost precedentemente documentato, condividendone molte delle funzionalità. Famous Chollima utilizzava la variante basata su Python per colpire i sistemi Windows, mentre la versione Golang prendeva di mira gli utenti macOS. I sistemi Linux sono stati esclusi da questi ultimi attacchi.
Secondo Talos, il gruppo di autori di minacce è attivo dal 2024 attraverso diverse campagne ben documentate. Queste campagne includevano l'utilizzo di varianti di Contagious Interview (noto anche come Deceptive Development) e la creazione di falsi annunci di lavoro e pagine di verifica delle competenze. Agli utenti veniva chiesto di copiare e incollare (ClickFix) una riga di comando dannosa per installare i driver necessari per condurre la fase finale di verifica delle competenze.
Ai candidati coinvolti nell'ultimo schema scoperto a maggio è stato chiesto di abilitare l'accesso alla telecamera per un colloquio video e di copiare ed eseguire comandi dannosi camuffati da installazioni di driver video. Di conseguenza, hanno finito per utilizzare PylangGhost nei loro gadget. L'esecuzione iniziava con il file "nvidia.py", che eseguiva diverse attività: creava un valore di registro per avviare il RAT ogni volta che un utente accedeva al sistema, generava un GUID per il sistema da utilizzare nella comunicazione con il server di comando e controllo (C2), si connetteva al server C2 ed entrava nel ciclo di comandi per la comunicazione con il server.
Secondo Cisco Talos, "Le istruzioni per scaricare la presunta correzione variano in base all'impronta digitale del browser e sono fornite nel linguaggio shell appropriato per il sistema operativo: PowerShell o Command Shell per Windows e Bash per MacOS"
Talos ha osservato che, oltre a rubare fondi direttamente dagli exchange, gli hacker di Famous Chollima si sono recentemente concentrati sui professionisti del settore crypto per raccogliere informazioni e, possibilmente, infiltrarsi dall'interno nelle aziende crypto. All'inizio di quest'anno, gli hacker nordcoreani hanno fondato false società statunitensi, BlockNovas LLC e SoftGlide LLC, per distribuire malware attraverso colloqui di lavoro fraudolenti prima che l'FBI sequestrasse il dominio BlockNovas.
La Corea del Nord emerge come centro di famigerati schemi di hacking
Nel dicembre 2024, l'attacco informatico da 50 milioni di dollari a Radiant Capital è iniziato quando alcuni criminali nordcoreani della RPDC si sono spacciati per ex trac e hanno inviato PDF contenenti malware agli ingegneri. I truffatori hanno condiviso un file zip con il pretesto di chiedere feedback su un nuovo progetto su cui stavano lavorando.
Una dichiarazione congiunta di Giappone, Corea del Sud e Stati Uniti ha inoltre confermato che gruppi sostenuti dalla Corea del Nord, tra cui Lazarus, hanno rubato almeno 659 milioni di dollari attraverso molteplici furti di criptovalute nel 2024. Gli inviati hanno osservato che i lavoratori nordcoreani all'estero, tra cui specialisti IT coinvolti in "attività informatiche dannose", hanno rappresentato un fattore determinante nella capacità del regime di finanziare i propri programmi di armamento attraverso il furto e il riciclaggio di fondi, comprese le criptovalute.
di Chainalysis , ha confermato che gli hacker legati alla Corea del Nord sono stati di gran lunga i più prolifici hacker di criptovalute degli ultimi anni. Nel 2022, hanno distrutto i propri precedenti per furto, rubando criptovalute per un valore stimato di 1,7 miliardi di dollari in diversi attacchi, rispetto ai 428,8 milioni di dollari del 2021.
Tuttavia, a maggio, l'exchange di criptovalute Kraken ha rivelato di aver identificato e bloccato con successo dent agente nordcoreano che aveva fatto domanda per una posizione IT. Kraken ha scoperto il candidato quando non ha superato i test di verifica dell'identità di base dent i colloqui.
