Согласно Cisco Talos, группа, связанная с Северной Кореей, активизировала свои усилия по взлому охотников за криптовалютными вакансиями в Индии с помощью трояна удалённого доступа на основе Python.
Поддельные платформы для поиска работы
Охотники за работой соблазняются объявлениями, которые имитируют известные компании, такие как Coinbase, Robinhood и Uniswap. Рекрутеры связываются через LinkedIn или электронную почту. Они приглашают кандидатов на сайт для «проверки навыков». Поначалу это кажется безобидным, но за кулисами сайт собирает информацию о системе и браузере.
Обманчивый процесс интервью
После теста кандидаты присоединяются к видеоинтервью в реальном времени. Им говорят обновить драйверы камеры. Быстрым движением они копируют и вставляют команды в окно терминала. Один клик — и устанавливается PylangGhost. Вся схема работает без сбоев — до тех пор, пока вредоносное ПО не возьмёт управление на себя.
Продвинутый инструмент RAT
PylangGhost — это вариация на тему более раннего инструмента GolangGhost. Как только он активируется, то захватывает файлы cookie и пароли более чем из 80 расширений браузера. В этот список входят MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.
Затем троян открывает лазейку для удалённого управления. Он может делать скриншоты, управлять файлами, красть данные браузера и незаметно присутствовать в системе.
История подобных атак
Северокорейские хакеры использовали поддельный тест по набору персонала в апреле перед хищением средств на сумму 1,4 миллиарда долларов в компании Bybit. Они также применяли подобные трюки с заражёнными PDF-файлами и вредоносными ссылками.
Эта группа, известная как Famous Chollima или Wagemole, с 2019 года украла миллионы через взломы криптовалютных кошельков. Их цель проста: получить действительные учётные данные, а затем незаметно перевести средства.
Меры реагирования отрасли
Команды по обеспечению безопасности находятся в состоянии повышенной готовности. Они рекомендуют проверять каждый URL на наличие орфографических ошибок и подозрительных доменов. Эксперты советуют проверять предложения о работе через надёжные каналы.
Инструменты для обнаружения конечных точек должны отмечать любой скрипт, который обращается к удалённым серверам. А многофакторная аутентификация может заблокировать украденные пароли от предоставления полного доступа.
Это предупреждение показывает, насколько далеко могут зайти связанные с государством субъекты, чтобы украсть криптовалютные активы. Сочетание социальной инженерии и специализированного вредоносного ПО представляет собой серьёзный риск.
Всем, кто ищет работу в блокчейне, следует дважды проверять каждую ссылку и никогда не запускать непроверенный код. Хранение аппаратных кошельков в автономном режиме и использование отдельных профилей для поиска работы может снизить риски. Бдительность в процессе найма и надёжный технический контроль остаются лучшей защитой от этих развивающихся угроз.
Не является инвестиционной рекомендацией.