Hackers norte-coreanos visam candidatos a empregos no setor de criptomoedas com malware

Hackers norte-coreanos, conhecidos como Famous Chollima, visaram especialistas em criptomoedas com falsas entrevistas de emprego, cujo objetivo era roubar seus dados e instalar malware em seus dispositivos. O malware rouboudentde mais de 80 extensões de navegador, incluindo gerenciadores de senhas e carteiras de criptomoedas como Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e MultiverseX.

Na quarta-feira, a empresa de pesquisa de inteligência de ameaças Cisco Talos relatou que a Famous Chollima se fazia passar por empresas legítimas e direcionava vítimas desavisadas para sites de teste de habilidades, onde as vítimas inseriam dados pessoais e respondiam a perguntas técnicas.

Os sites de teste de habilidades se passavam falsamente por empresas reais como Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap e outras, o que ajudava na seleção dos alvos. 

Segundo informações de fontes abertas, apenas alguns usuários, predominantemente na Índia, foram afetados. Dileep Kumar HV, diretor da Digital South Belief, aconselhou que, para combater esses golpes, a Índia deveria exigir auditorias de segurança cibernética para empresas de blockchain e monitorar portais de emprego falsos. Ele também defendeu uma coordenação globaltronem campanhas de conscientização digital e combate ao cibercrime transfronteiriço.

A Talos investiga o golpe e confirma uma ligação com a Coreia do Norte

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg

— Mayank Dudeja || SPYONGEMS (@imcryptofreak) 20 de junho de 2025

A empresa de pesquisa em cibersegurança Cisco Talos afirmou que o novo trojan de acesso remoto baseado em Python, chamado “PylangGhost”, vincula o malware a um coletivo de hackers afiliado à Coreia do Norte chamado “Famous Chollima”, também conhecido como “Wagemole”

A empresa também revelou que o malware PylangGhost era funcionalmente equivalente ao RAT GolangGhost, previamente documentado, compartilhando muitas das mesmas capacidades. O grupo Famous Chollima utilizou a variante baseada em Python para atacar sistemas Windows, enquanto a versão em Golang tinha como alvo usuários de macOS. Sistemas Linux foram excluídos desses ataques mais recentes.

Segundo a Talos, o grupo de cibercriminosos está ativo desde 2024 por meio de diversas campanhas bem documentadas. Essas campanhas incluíam o uso de variantes do Contagious Interview (também conhecido como Deceptive Development) e a criação de anúncios de emprego falsos e páginas de teste de habilidades. Os usuários eram instruídos a copiar e colar (ClickFix) uma linha de comando maliciosa para instalar os drivers necessários para realizar a etapa final de teste de habilidades.  

Os candidatos envolvidos no esquema mais recente, descoberto em maio, foram instruídos a habilitar o acesso à câmera para uma entrevista em vídeo e induzidos a copiar e executar comandos maliciosos disfarçados de instalações de drivers de vídeo. Dessa forma, acabaram utilizando o PylangGhost em seus dispositivos. A execução iniciava com o arquivo “nvidia.py”, que realizava diversas tarefas: criava um valor no registro do sistema para iniciar o RAT sempre que um usuário fazia login, gerava um GUID para o sistema a ser usado na comunicação com o servidor de comando e controle (C2), conectava-se ao servidor C2 e entrava no loop de comandos para comunicação com o servidor.

Segundo a Cisco Talos, “As instruções para baixar a suposta correção variam de acordo com a impressão digital do navegador e também são fornecidas na linguagem de shell apropriada para o sistema operacional: PowerShell ou Prompt de Comando para Windows e Bash para macOS.”

A Talos observou que, além de roubar fundos diretamente de corretoras, os hackers do grupo Famous Chollima têm se concentrado recentemente em profissionais do setor de criptomoedas para coletar informações e possivelmente se infiltrar em empresas do ramo. No início deste ano, hackers norte-coreanos criaram empresas americanas falsas, BlockNovas LLC e SoftGlide LLC, para distribuir malware por meio de entrevistas de emprego fraudulentas, antes que o FBI apreendesse o domínio da BlockNovas.

A Coreia do Norte emerge como um centro para notórios esquemas de hackers

Em dezembro de 2024, o ataque cibernético de US$ 50 milhões à Radiant Capital começou quando agentes norte-coreanos se fizeram passar por ex-trace enviaram PDFs infectados com malware para os engenheiros. O(s) impostor(es) compartilhou(aram) um arquivo zip sob o pretexto de pedir feedback sobre um novo projeto em que estavam trabalhando.

Uma declaração conjunta do Japão, Coreia do Sul e Estados Unidos também confirmou que grupos apoiados pela Coreia do Norte, incluindo o grupo Lazarus, roubaram pelo menos US$ 659 milhões por meio de múltiplos roubos de criptomoedas em 2024. Os enviados observaram que os trabalhadores norte-coreanos no exterior, incluindo especialistas em TI envolvidos em "atividades cibernéticas maliciosas", foram um fator importante na capacidade do regime de financiar seus programas de armas por meio do roubo e lavagem de fundos, incluindo criptomoedas.

da Chainalysis , confirmou que hackers ligados à Coreia do Norte foram, de longe, os hackers de criptomoedas mais prolíficos nos últimos anos. Em 2022, eles quebraram seus próprios recordes de roubo, furtando cerca de US$ 1,7 bilhão em criptomoedas em diversos ataques, um aumento em relação aos US$ 428,8 milhões de 2021.

No entanto, em maio, a corretora de criptomoedas Kraken revelou que havia identificado e impedido com sucessodentagente norte-coreano que se candidatara a uma vaga na área de TI. A Kraken identificou o candidato quando ele falhou em testes básicos de verificação dedentdurante as entrevistas.