Hackers norte -coreanos visam os candidatos a emprego de criptografia com malware

Os hackers norte -coreanos, famosos Chollima, direcionaram especialistas em criptografia com entrevistas de emprego falsas projetadas para roubar seus dados e implantar malware em seus dispositivos. O malware roubou o CREdentde mais de 80 extensões de navegador, incluindo gerentes de senha e carteiras de criptografia como Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e Multiversex.

Na quarta-feira, a empresa de pesquisa de inteligência de ameaças Cisco Talos informou que a famosa Chollima se apresentava como empresas legítimas e instruiu vítimas desavisadas a sites de teste de habilidade, onde as vítimas inseriram detalhes pessoais e responderam a perguntas técnicas.

Os sites de teste de habilidades lideraram falsamente empresas reais como Coinbase , Archblock, Robinhhood, Parallel Studios, Uniswap e outros, o que ajudou no segmentador.

Apenas alguns usuários, predominantemente na Índia, foram afetados com base em inteligência de código aberto. Dileep Kumar HV, diretor da Digital South Breinence, aconselhou que, para combater esses golpes, a Índia deveria exigir auditorias de segurança cibernética para empresas de blockchain e monitorar portais de emprego falsos. Ele também pediu a coordenação global StronGer em campanhas transfronteiriças de crimes cibernéticos e de consciência digital.

Talos segue o golpe e confirma uma conexão norte -coreana

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 - 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1zg

- Mayank Dudeja (@imcryptofreak) 20 de junho de 2025

A empresa de pesquisa de segurança cibernética Cisco Talos alegou que o novo Trojan de acesso remoto baseado em Python, chamado "Pylangghost", vinculou malware a um coletivo de hackers afiliado à Coréia do Norte chamado "Famous Chollima", também conhecido como "Wagemole".

A empresa também divulgou que o malware pylangghost era funcionalmente equivalente ao rato Golangghost anteriormente documentado, compartilhando muitos dos mesmos recursos. O famoso Chollima usou a variante baseada em Python para segmentar sistemas Windows, enquanto a versão Golang direcionou os usuários do MacOS. Os sistemas Linux foram excluídos desses ataques mais recentes.

Segundo Talos, o grupo de atores de ameaças está ativo desde 2024 por meio de várias campanhas bem documentadas. Essas campanhas incluíram o uso de variantes de entrevista contagiosa (também conhecida como Desenvolvimento Deceptivo) e criar anúncios falsos de emprego e páginas de teste de habilidades. Os usuários foram instruídos a copiar e colar (clickfix) uma linha de comando maliciosa para instalar os drivers necessários para conduzir o estágio final de teste de habilidade.  

Os candidatos no último esquema descobertos em maio foram instruídos a permitir o acesso à câmera para uma entrevista em vídeo e solicitado a copiar e executar comandos maliciosos disfarçados de instalações de driver de vídeo. Assim, eles acabaram usando o pylangghost em seus gadgets. A execução começou com o arquivo "nvidia.py", que executou várias tarefas: criou um valor do registro para iniciar o rato toda vez que um usuário conectado ao sistema, gerou um GUID para o sistema ser usado na comunicação com o comando e controle (C2), conectado ao servidor C2 e inseriu o comando Loop for Communication com o servidor.

De acordo com a Cisco Talos, “as instruções para baixar a suposta correção são diferentes com base na impressão digital do navegador, e também são fornecidas na linguagem de shell apropriada para o sistema operacional: PowerShell ou comando shell para Windows e bash para macOS”.

Talos observou que, além de roubar fundos diretamente de trocas, os famosos hackers de Chollima se concentraram recentemente em profissionais de criptografia para coletar informações e possivelmente se infiltrar em empresas de criptografia por dentro. No início deste ano, os hackers norte -coreanos estabeleceram empresas falsas dos EUA, BlockNovas LLC e Softglide LLC, para distribuir malware por meio de entrevistas fraudulentas de emprego antes que o FBI apreendesse o domínio Blocknovas.

A Coréia do Norte emerge como um centro para esquemas de hackers notórios

Em dezembro de 2024, o hack de capital radiante de US $ 50 milhões começou quando os atores da RPDC norte-coreana se apresentaram como ex-conquistas trac enviaram PDFs carregados de malware para os engenheiros. O (s) imitador (s) compartilhou um arquivo zip sob o pretexto de pedir feedback sobre um novo projeto em que estavam trabalhando.

A joint statement from Japan, South Korea, and the US also confirmed that North Korean-backed groups, including Lazarus, stole at least $659 million through multiple crypto heists in 2024. The envoys noted that North Korea's overseas workers, including IT specialists engaged in “malicious cyber activities,” were a major factor in the regime's ability to finance its weapons programs through the theft and laundering of funds, including crypto.

da Chayalysis de investigações confirmou que os hackers ligados à Coréia do Norte foram de longe os hackers de criptografia mais prolíficos nos últimos anos. Em 2022, eles quebraram seus próprios registros por roubo, roubando um valor estimado de US $ 1,7 bilhão em criptografia em vários hacks, contra US $ 428,8 milhões em 2021.

No entanto, em maio, a Crypto Exchange Kraken revelou que havia prejudicado com sucesso dent frustrou um operador norte -coreano que havia se candidatado a uma posição de TI. Kraken pegou o candidato quando eles falharam nos testes básicos dent durante as entrevistas.

Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida