朝鲜黑客利用恶意软件攻击加密货币求职者

作者：

阅读时长：3分钟 2025年6月20日

朝鲜黑客以虚假的求职面试为诱饵，引诱加密货币专业人士部署基于 Python 的新型恶意软件 PylangGhost。.
该恶意软件窃取了 80 多个浏览器扩展程序的dent，包括 Metamask 和 1Password，并实现了频繁的未经授权的远程访问。.
朝鲜是臭名昭著的黑客组织的基地，据估计，仅在一年内，朝鲜就通过多次黑客攻击窃取了价值 17 亿美元的加密货币。.

朝鲜黑客组织“Famous Chollima”以虚假求职面试为诱饵，攻击加密货币专家，旨在窃取他们的数据并在其设备上植入恶意软件。该恶意软件从80多个浏览器扩展程序中窃取dent，其中包括Metamask、1Password、NordPass、Phantom、Bitski、Initia、 TronLink和MultiverseX等密码管理器和加密货币钱包。.

周三，威胁情报研究公司 Cisco Talos 报告称，Famous Chollima 冒充合法公司，将毫无戒心的受害者引导至技能测试网站，在这些网站上，受害者输入个人信息并回答技术问题。

这些技能测试网站伪装成 Coinbase、Archblock、Robinhood、Parallel Studios、Uniswap 等真实公司，这有助于精准定位目标客户。

根据开源情报，只有少数用户受到影响，主要集中在印度。Digital South Belief 的主管 Dileep Kumar HV 建议，为了打击此类诈骗，印度应强制要求区块链公司进行网络安全审计，并监控虚假招聘网站。他还呼吁tron全球在打击跨境网络犯罪和开展数字意识宣传活动方面的协调。.

Talos跟进调查了这起骗局，并确认其与朝鲜有关。

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg

— Mayank Dudeja || SPYONGEMS (@imcryptofreak) 2025年6月20日

网络安全研究公司 Cisco Talos 声称，名为“PylangGhost”的基于 Python 的新型远程访问木马与一个名为“Famous Chollima”（又名“Wagemole”）的朝鲜黑客组织有关联。

该公司还披露，PylangGhost恶意软件在功能上与之前记录在案的GolangGhost远程访问木马（RAT）基本相同，拥有许多相同的功能。著名的Chollima组织曾使用基于Python的变种攻击Windows系统，而Golang版本则针对macOS用户。Linux系统并未受到这些最新攻击的影响。.

据 Talos 称，该威胁组织自 2024 年以来一直活跃，并开展了多起有据可查的攻击活动。这些活动包括使用 Contagious Interview（又名 Deceptive Development）的变种，以及创建虚假招聘广告和技能测试页面。攻击者指示用户复制并粘贴（ClickFix）一段恶意命令行，以安装完成最终技能测试阶段所需的驱动程序。.

在五月份曝光的最新攻击方案中，应聘者被要求启用摄像头进行视频面试，并被诱导复制和执行伪装成视频驱动程序安装程序的恶意命令。最终，他们的设备中被植入了 PylangGhost 恶意软件。该恶意软件的执行始于名为“nvidia.py”的文件，该文件执行了以下几个任务：创建一个注册表值，以便在用户每次登录系统时启动远程访问木马 (RAT)；生成一个用于与命令与控制 (C2) 服务器通信的系统 GUID；连接到 C2 服务器；并进入与服务器通信的命令循环。.

据 Cisco Talos 称，“根据浏览器指纹的不同，下载所谓修复程序的说明也不同，并且会根据操作系统使用相应的 shell 语言给出：Windows 使用 PowerShell 或命令 Shell，MacOS 使用 Bash。”

Talos观察到，除了直接从交易所窃取资金外，著名的千里马黑客组织最近还将目标转向加密货币领域的专业人士，以收集信息并可能从内部渗透加密货币公司。今年早些时候，朝鲜黑客创建了虚假的美国公司BlockNovas LLC和SoftGlide LLC，通过虚假的招聘面试传播恶意软件，之后FBI查封了BlockNovas的域名。