北朝鮮のハッカーがマルウェアで暗号通貨関連の求職者を狙う

北朝鮮のハッカー集団「Famous Chollima」は、偽の就職面接で暗号資産の専門家を標的にし、データを盗み出し、デバイスにマルウェアを仕掛けました。このマルウェアは、Metamask、1Password、NordPass、Phantom、Bitski、Initia、 TronLink、MultiverseXといったパスワードマネージャーや暗号資産ウォレットを含む80以上のブラウザ拡張機能からdent情報を盗み出しました。.

脅威情報調査会社シスコ・タロスは水曜日、 フェイマス・チョリマが合法的な企業を装い、何も知らない被害者をスキルテストのウェブサイトに誘導し、そこで個人情報を入力したり技術的な質問に答えたりしていたと報告した。

スキルテストサイトは、 Coinbase、Archblock、Robinhood、Parallel Studios、Uniswapなどの実在の企業を偽装しており、これが標的の絞り込みに役立っていました。 

オープンソース情報によると、影響を受けたのは少数のユーザー、主にインドのユーザーでした。Digital South Beliefのディレクター、ディリープ・クマールHV氏は、これらの詐欺に対抗するため、インドはブロックチェーン企業へのサイバーセキュリティ監査を義務付け、偽の求人ポータルを監視するべきだと提言しました。また、国境を越えたサイバー犯罪とデジタル意識向上キャンペーンに関して、tronな国際連携の必要性も訴えました。.

タロスは詐欺事件を調査し、北朝鮮とのつながりを確認した。

🚨 𝗔𝗟𝗘𝗥𝗧: 芸術に関する重要な情報芸術と文化

非常に優れたジョブシッツとして開発されました — カリフルです… pic.twitter.com/wt4pe5o1Zg

— Mayank Dudeja || SPYONGEMS (@imcryptofreak) 2025年6月20日

サイバーセキュリティ調査会社シスコ・タロスは、「PylangGhost」と呼ばれる新たなPythonベースのリモートアクセス型トロイの木馬が、北朝鮮と関係のあるハッカー集団「Famous Chollima」（別名「Wagemole」）にマルウェアを関連付けていると主張した。

同社はまた、PylangGhostマルウェアは、以前に報告されたGolangGhost RATと機能的に同等であり、多くの機能を共有していることを明らかにしました。有名なChollimaは、Pythonベースの亜種を使用してWindowsシステムを標的とし、GolangバージョンはmacOSユーザーを標的としていました。Linuxシステムは、今回の最新の攻撃からは除外されています。.

Talosによると、この脅威グループは2024年から、複数の十分に文書化されたキャンペーンを通じて活動を続けてきました。これらのキャンペーンには、Contagious Interview（別名Deceptive Development）の亜種の使用や、偽の求人広告やスキルテストページの作成が含まれていました。ユーザーは、最終的なスキルテスト段階に必要なドライバーをインストールするために、悪意のあるコマンドラインをコピー＆ペースト（ClickFix）するよう指示されていました。.  

5月に発覚した最新の手口では、受験者はビデオ面接のためにカメラへのアクセスを有効にするよう指示され、ビデオドライバのインストールを装った悪意のあるコマンドをコピーして実行するよう促されました。こうして、受験者はガジェットでPylangGhostを使用するようになりました。実行は「nvidia.py」ファイルから始まり、複数のタスクを実行しました。ユーザーがシステムにログオンするたびにRATを起動するためのレジストリ値を作成し、コマンドアンドコントロール（C2）サーバーとの通信に使用するシステムのGUIDを生成し、C2サーバーに接続して、サーバーとの通信のためのコマンドループに入りました。.

Cisco Talos によると、「この修正プログラムのダウンロード手順はブラウザのフィンガープリンティングによって異なり、OS に適切なシェル言語（Windows の場合は PowerShell またはコマンド シェル、MacOS の場合は Bash）で提供されています。」

Talosは、Famous Chollimaのハッカーたちが取引所から直接資金を盗み出すだけでなく、最近は仮想通貨業界の専門家を標的に情報収集を行い、仮想通貨企業に内部から侵入するケースもあることを観察しました。今年初め、 北朝鮮のハッカーたちは 、偽の米国企業BlockNovas LLCとSoftGlide LLCを設立し、FBIがBlockNovasのドメインを押収する前に、偽の就職面接を通じてマルウェアを拡散させていました。

北朝鮮が悪名高いハッキング計画の拠点として浮上

2024年12月、Radiant Capitalへの5,000万ドル規模のハッキング事件 は 、北朝鮮の工作員が元請負業者を装い、マルウェアを仕込んだPDFファイルをエンジニアに送信したことからtrac。なりすまし犯は、現在取り組んでいる新しいプロジェクトに関するフィードバックを求めるという名目で、zipファイルを共有していました。ました

日本、韓国、米国の共同声明では、ラザルスを含む北朝鮮が支援するグループが2024年に複数の仮想通貨強盗を通じて少なくとも6億5900万ドルを盗んだことも確認された。特使らは、「悪意のあるサイバー活動」に従事するIT専門家を含む北朝鮮の海外労働者が、仮想通貨を含む資金の盗難とロンダリングを通じて北朝鮮政権が兵器計画に資金を提供する能力の主要な要因であると指摘した。.

チェイナリシス の調査担当バイスプレジデント、エリン・プランテ氏は、北朝鮮関連のハッカーがここ数年で最も活発な暗号資産ハッカーであることを確認した。2022年には、彼らは複数のハッキングで推定17億ドル相当の暗号資産を盗み出し、自らの窃盗記録を塗り替えた。これは2021年の4億2880万ドルから増加している。

しかし、5月に仮想通貨取引所 クラーケンは ことに成功したと発表しましたdentに不合格となった応募者を摘発しましたdent確認テスト