Северокорейские хакеры атакуют соискателей работы в криптоиндустрии с помощью вредоносного ПО

Северокорейские хакеры Famous Chollima атаковали криптоэкспертов, используя фальшивые собеседования, призванные украсть их данные и установить вредоносное ПО на их устройства. Вредоносная программа похитилаdentданные из более чем 80 расширений для браузеров, включая менеджеры паролей и криптокошельки, такие как Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.

В среду исследовательская компания Cisco Talos, специализирующаяся на анализе угроз, сообщила , что Famous Chollima выдавала себя за легитимные компании и направляла ничего не подозревающих жертв на сайты, проверяющие навыки, где жертвы вводили личные данные и отвечали на технические вопросы.

Сайты, проверяющие навыки пользователей, выдавали себя за реальные компании, такие как Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap и другие, что помогало в целевом маркетинге. 

Согласно информации из открытых источников, пострадало лишь небольшое количество пользователей, преимущественно в Индии. Дилеп Кумар Х.В., директор Digital South Belief, посоветовал Индии ввести обязательные проверки кибербезопасности для блокчейн-компаний и отслеживать фейковые порталы вакансий для противодействия этим мошенническим схемам. Он также призвал кtronтесной глобальной координации в борьбе с трансграничной киберпреступностью и проведению кампаний по повышению цифровой осведомленности.

Компания Talos проводит расследование аферы и подтверждает связь с Северной Кореей

🚨 ВСЕ: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg

— Маянк Дудеджа || SPYONGEMS (@imcryptofreak) 20 июня 2025 г.

Исследовательская компания Cisco Talos, специализирующаяся на кибербезопасности, заявила, что новый троян удаленного доступа на основе Python под названием «PylangGhost» связывает вредоносное ПО с хакерской группировкой «Famous Chollima», также известной как «Wagemole», связанной с Северной Кореей

Компания также сообщила, что вредоносное ПО PylangGhost функционально эквивалентно ранее описанному RAT GolangGhost, обладая многими теми же возможностями. Famous Chollima использовала вариант на основе Python для атак на системы Windows, в то время как версия на Golang была нацелена на пользователей macOS. Системы Linux были исключены из этих последних атак.

По данным Talos, эта группа злоумышленников действует с 2024 года, проводя несколько хорошо задокументированных кампаний. Эти кампании включали использование вариантов «Заразительного собеседования» (также известного как «Обманчивая разработка») и создание поддельных объявлений о вакансиях и страниц для проверки навыков. Пользователям предлагалось скопировать и вставить (с помощью ClickFix) вредоносную командную строку для установки драйверов, необходимых для проведения заключительного этапа проверки навыков.  

В ходе последней раскрытой в мае схемы участникам было поручено включить доступ к камере для видеоинтервью и скопировать и выполнить вредоносные команды, замаскированные под установку видеодрайверов. Таким образом, они использовали PylangGhost на своих устройствах. Выполнение начиналось с файла «nvidia.py», который выполнял несколько задач: создавал значение в реестре для запуска RAT каждый раз, когда пользователь входил в систему, генерировал GUID для системы, используемый для связи с сервером управления и контроля (C2), подключался к серверу C2 и входил в командный цикл для связи с сервером.

Согласно Cisco Talos, «инструкции по загрузке предполагаемого исправления различаются в зависимости от идентификации браузера, а также представлены на соответствующем языке командной оболочки для операционной системы: PowerShell или Command Shell для Windows и Bash для MacOS»

Talos отметил, что, помимо кражи средств непосредственно с бирж, известные хакеры из Чоллимы в последнее время сосредоточились на криптопрофессионалах, чтобы собирать информацию и, возможно, проникать в криптокомпании изнутри. Ранее в этом году северокорейские хакеры создали поддельные американские компании BlockNovas LLC и SoftGlide LLC для распространения вредоносного ПО через мошеннические собеседования, прежде чем ФБР конфисковало домен BlockNovas.

Северная Корея становится центром печально известных хакерских атак

В декабре 2024 года началась хакерская атака на Radiant Capital, в результате которой ущерб составил 50 миллионов долларов. Северокорейские агенты, выдавая себя за бывших подрядчиковtracрассылали инженерам PDF-файлы, содержащие вредоносное ПО. Имитаторы распространяли ZIP-файл под предлогом запроса отзывов о новом проекте, над которым они работали.

В совместном заявлении Японии, Южной Кореи и США также подтверждено, что поддерживаемые Северной Кореей группировки, включая «Лазарус», украли не менее 659 миллионов долларов в результате многочисленных краж криптовалюты в 2024 году. Посланники отметили, что работающие за рубежом сотрудники Северной Кореи, включая IT-специалистов, занимающихся «злонамеренной кибердеятельностью», являются важным фактором в способности режима финансировать свои программы вооружений путем кражи и отмывания средств, в том числе криптовалюты.

Chainalysis по расследованиям Эрин Планте подтвердила, что хакеры, связанные с Северной Кореей, были самыми активными криптохакерами за последние несколько лет. В 2022 году они побили собственные рекорды по кражам, украв криптовалюту на сумму около 1,7 миллиарда долларов в ходе нескольких взломов, по сравнению с 428,8 миллионами долларов в 2021 году.

Однако в мае криптовалютная биржа Kraken сообщила, что ей удалось выявитьdentзадержать северокорейского агента, подавшего заявку на должность в сфере IT. Kraken обнаружила кандидата, когда он не прошёл базовыеdentна проверку личности во время собеседования.