В последние годы сфера криптовалют и блокчейна стала ключевой мишенью для киберпреступников и государственных хакерских группировок. Особенно активно проявляет себя Северная Корея, где действуют специализированные хакерские коллективы, использующие сложные методы социального инжиниринга и вредоносное программное обеспечение для атак на профессионалов криптоиндустрии. Недавние расследования, проведённые специалистами Cisco Talos, выявили новую волну атак, направленных на сотрудников и соискателей работы в сфере криптовалют и блокчейн технологий. Основным инструментом взлома стал новый удалённый троян на основе языка Python под названием PylangGhost. Именно он используется северокорейскими группами для кражи учётных данных и контроля над устройствами жертв.
Удивительно, что для проведения подобных кибершпионских операций злоумышленники используют фальшивые сайты с объявлениями о работе, которые по дизайну и функционалу имитируют крупные и известные компании криптовалютного сектора, такие как Coinbase, Robinhood и Uniswap. Новая схема мошенничества начинается с рассылки фальшивых приглашений на собеседование. Жертвы получают письма с предложением пройти тест и подтвердить свои навыки на специально подготовленных ресурсах. Во время этого процесса осуществляется сбор личной информации и технических данных, которые в дальнейшем используют хакеры.Также важной частью атаки является социальная инженерия, где от кандидатов требуют включить видеокамеру и разрешить доступ к экрану под предлогом онлайн-собеседования.
Во время этого процесса им предлагается выполнить ряд команд, якобы для обновления программного обеспечения камеры, однако на самом деле эти команды запускают вредоносный код, позволяющий злоумышленникам получить полный контроль над устройством жертвы.Данный удалённый доступ открывает перед хакерами возможность украсть необходимые для последующих атак данные. Среди украденных данных — куки-файлы, пароли, данные из более чем восьмидесяти расширений браузеров, включая популярные менеджеры паролей и криптокошельки, такие как MetaMask, 1Password, NordPass, Phantom и другие. Таким образом, у злоумышленников появляется реальный доступ к средствам жертв, который может привести к значительным финансовым потерям.Сравнивая PylangGhost с ранее известным ГолангGhost, эксперты отмечают сходство во всех ключевых функциях: возможность делать скриншоты, управлять файлами и собирать системную информацию на заражённых устройствах.
Вредоносный код позволяет злоумышленникам сохранять удалённый доступ, что усложняет выявление и устранение атаки.Помимо технической составляющей, важно понимать и стратегию хакерских группировок с Северной Кореи. Они целенаправленно выбирают специалистов с опытом в криптовалютных и блокчейн направлениях, что позволяет им максимально эффективно использовать украденную информацию. В частности, наибольшей активностью атаки сопровождаются в индийском регионе — одном из главных центров развития блокчейн технологий и криптовалютных стартапов.Новые методы фишинга и социальной инженерии на фоне роста интереса к цифровым активам создают высокие риски для тех, кто ищет работу или сотрудничество в данной сфере через интернет.
Использование поддельных сайтов и лжеинтервью становится всё более распространённой практикой для киберпреступников, желающих обмануть доверчивых специалистов.Отдельно стоит отметить, что такие атаки становятся частью более масштабных кампаний, финансируемых и поддерживаемых государственными структурами Северной Кореи. Анализ кода вредоносного ПО показывает, что, несмотря на современные технологии и возможности, злоумышленники пишут часть программного обеспечения без помощи расширенных искусственных интеллектов. Это свидетельствует о высоком профессиональном уровне специалистов, работающих на создание и поддержание вредоносных инструментов.Неконтролируемое распространение таких угроз может привести к серьёзным последствиям не только для отдельных специалистов, но и для всего крипто-сообщества.
