В последние годы киберугрозы в криптопространстве становятся все более изощренными и опасными. Одним из последних тревожных трендов является нацеливание Северной Кореей на специалистов блокчейн- и криптовалютной индустрии с помощью нового типа вредоносного ПО, предназначенного для кражи конфиденциальной информации и доступа к криптовалютным активам. Этот сигнал вызывает у экспертов необходимость повышенного внимания к защите цифровых активов и личных данных в условиях растущих угроз со стороны государственных хакерских группировок. Северокорейские киберпреступники, связанные с известной хакерской группой Famous Chollima или Wagemole, разработали уникальную стратегию многоступенчатой атаки с применением социальной инженерии и технических ухищрений. Их основной целью стали специалисты с опытом работы в области криптовалют, блокчейн-разработке и смежных технологиях, преимущественно проживающие в Индии, однако угроза распространяется и на другие регионы.
Ключевым элементом атаки стали фейковые веб-сайты по поиску работы, созданные таким образом, чтобы напоминать страницы известных и уважаемых компаний криптоиндустрии, таких как Coinbase, Robinhood и Uniswap. Эти сайты не просто обманывают пользователей внешним видом – они задействуют сложные сценарии вовлечения потенциальных жертв. Злоумышленники отправляют приглашения на вакантные позиции от якобы легитимных рекрутеров, предлагая пройти собеседование и тесты, которые на самом деле служат прикрытием для установки вредоносного кода. Одна из ключевых фаз атаки – видеоинтервью, во время которого жертвы принуждаются предоставить доступ к камере и микрофону своего устройства под предлогом обновления видеодрайверов или активации программного обеспечения для собеседования. Во время видеозвонка пользователя убеждают выполнить ряд вредоносных команд, после чего на компьютер или мобильное устройство устанавливается удаленная троянская программа (Remote Access Trojan, RAT) под названием PylangGhost.
PylangGhost – это новая разновидность ранее зарегистрированного вредоносного ПО GolangGhost, обладающего широкими функциональными возможностями по управлению зараженной системой. После активации троян обеспечивает полный контроль над устройством, собирает данные с установленного программного обеспечения, включая куки-файлы и аутентификационные данные браузерных расширений. Особое внимание стоит уделить тому, что PylangGhost ориентирован прежде всего на похищение паролей и ключей из популярных криптокошельков и менеджеров паролей. Среди известных жертв в поле зрения атак входят MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX. В результате успешной атаки злоумышленники получают доступ к большим объемам цифровых активов, некоторые из которых могут оцениваться в миллионы долларов.
Этот вредоносный софт также обладает многофункциональностью – он способен делать скриншоты, управлять файлами, собирать системную информацию и сохранять постоянный доступ к зараженному устройству. Такие возможности позволяют расширять сферу атаки и обеспечивают хакерам значительные преимущества при долгосрочном контроле над сетями и системами жертв. Аналитики кибербезопасности отмечают, что использование социальной инженерии в данной кампании свидетельствует о высоком уровне профессионализма и терпеливом планировании атаки. Умелое внедрение в профессиональное сообщество и создание иллюзии легитимности вакансий делают для многих специалистов из мира криптоиндустрии почти невозможным распознать ловушку своевременно. История не нова: Северная Корея и ранее прибегала к методам обмана через фальшивые вакансии и интервью для заражения компьютеров вредоносным ПО.
Например, в апреле 2025 года была выявлена похожая кампания, нацеленная на разработчиков криптопродуктов с применением зараженных тестовых заданий при приеме на работу, что подкрепляет упорное стремление этих хакеров использовать укрепленные социальные связи в профессиональных кругах для проведения своих атак. Сегодня эксперты рекомендуют разработать комплексные меры защиты для работников криптоотрасли. В первую очередь важно проявлять критическое отношение к непривычным предложениям о работе и подозрительным интервью – подозрительные ссылки, необычные требования по доступу к устройству и сомнительные технические заявления должны стать поводом для проверки легитимности предложения через официальные каналы компаний. Также необходимо использовать многоуровневые методы безопасности для защиты криптокошельков. Использование аппаратных решений, офлайновых хранилищ и сложных систем многофакторной аутентификации значительно усложняет задачу хакерам по проникновению и кражам цифровых активов.
Крайне важно, чтобы корпоративные и частные пользователи активнее привлекали к своей защите опытных специалистов по кибербезопасности и использовали современные антивредоносные средства, способные выявлять и блокировать новые типы троянов и уязвимостей. Регулярное обновление программного обеспечения, контроль доступа и просвещение сотрудников также играют ключевую роль в создании эффективной линии защиты. В контексте растущей интеграции криптовалют в мировую экономику подобные атаки становятся не просто технической проблемой, а потенциальной угрозой финансовой стабильности и безопасности пользователей. Государственные хакерские группы, в частности подконтрольные Северной Корее, демонстрируют способность к методичному и целенаправленному нанесению ущерба криптосообществу, что требует объединенных усилий по международному сотрудничеству в сфере кибербезопасности. Выводы, которые следует сделать специалистам и энтузиастам криптовалют, предельно ясны: важно не только следить за технологической защитой, но и иметь четкое понимание методов и инструментов, применяемых злоумышленниками.
Обучение тому, как распознавать признаки социальной инженерии и мошеннических схем, должно стать обязательной частью профессионального развития и личной информационной безопасности. Таким образом, новая волна атак северокорейских хакеров через фальшивые вакансии и вредоносный софт PylangGhost представляет серьезное предупреждение всему криптосообществу. Знание, бдительность и правильная защита помогут свести риск кражи активов и компрометации данных к минимуму в условиях постоянного усложнения киберугроз.
