В последние годы киберугрозы становятся все более изощренными и целенаправленными, особенно в области криптовалют и блокчейна. Среди наиболее опасных игроков на этом поле выделяется Северная Корея, где правительственные хакерские группы активно развивают стратегии кражи цифровых активов и проникновения в криптокомпании. Новый пример этой тенденции — троян PylangGhost, распространяемый через тщательно срежиссированные мошеннические схемы с предложениями работы, цель которых — кража конфиденциальных данных и криптовалютных кошельков специалистов по всему миру, в том числе в Индии, которая сегодня становится одним из лидеров в блокчейн-разработках.Группа, ответственная за распространение PylangGhost, известна под разными именами — Famous Chollima, Wagemole и другими. Они используют социальную инженерию, создавая фальшивые вакансии от якобы известных компаний в криптосфере, таких как Coinbase, Robinhood, Uniswap и Archblock.
Мошенники привлекают талантливых специалистов, публикуя весьма убедительные объявления и устраивая многоэтапные «интервью», чтобы вызвать доверие жертвы и замаскировать вредоносное ПО под программное обеспечение для обновления видео-драйверов. Это особенно эффективно в условиях высокого спроса на экспертизу в блокчейн-индустрии и часто ограниченного опыта работы с кибербезопасностью у самих специалистов.Главным инструментом атаки является RAT (Remote Access Trojan) PylangGhost, написанный на языке Python. Его особенность — способность внедрять себя в устройства под управлением Windows и осуществлять долговременный скрытый контроль над системой жертвы. После получения доступа троян собирает огромное количество информации, включая логины, сессии браузера, сохранённые пароли и ключи от криптокошельков через расширения популярных браузеров.
Особое внимание уделяется кошелькам MetaMask, Phantom и TronLink — основным инструментам для работы с цифровыми активами. Также PylangGhost умеет делать скриншоты, управлять файлами и выполнять удалённые команды, что открывает злоумышленникам возможности не только кражи средств, но и саботажа операций компаний.Сама схема внедрения вредоносного ПО организована через сложный процесс с несколькими этапами. Сначала кандидат проходит первичный отбор, после чего получает приглашение на видеособеседование, во время которого его просят предоставить доступ к камере и микрофону. Затем под видом «установки драйверов» жертве предлагают выполнить команду, которая на самом деле запускает скачивание и установку трояна.
Такая социально-инженерная атака становится возможной благодаря высокому уровню подготовки фальшивых сайтов и коммуникаций, создаваемых с помощью поддельных профилей и тщательно продуманных писем. В условиях активного найма в индустрии специалисты часто не проверяют подлинность предложений, что делает их уязвимыми.Интересно, что PylangGhost — это Windows версия более раннего трояна GolangGhost, который ранее атаковал компьютеры под управлением macOS. Анализ кода и структуры программного обеспечения демонстрирует, что вирусы разрабатывает одна и та же группа. Угроза нацелена преимущественно на пользователей Windows, а вот устройства на Linux пока остаются незатронутыми, что может объясняться меньшей популярностью последних в целевой аудитории.
История нападений группы Famous Chollima богата и не ограничивается только PylangGhost. Ранее они запускали похожие схемы обмана, известные как «Contagious Interview» и «DeceptiveDevelopment», где вредоносные программы распространялись через фальшивые предложения по работе для разработчиков на платформах GitHub, Upwork и CryptoJobsList. Также им приписывают создание фиктивных компаний BlockNovas LLC и SoftGlide LLC, используемых для внедрения вредоносного кода. Несмотря на действия ФБР по закрытию некоторых из этих ресурсов, группа не прекращает свою деятельность и совершенствует методики.Контекст киберпреступности Северной Кореи в криптосфере значительно шире.
Помимо целевых атак на сотрудников криптофирм, известна и масштабная деятельность группы Lazarus Group, причастной к украденным активам на сумму более 659 миллионов долларов в 2024 году. Важными случаями стали взлом Radiant Capital на $50 миллионов после рассылки вредоносного PDF-файла, а также попытка проникновения в биржу Kraken, где атака была пресечена на раннем этапе.Особенно уязвимым звеном являются специалисты из Индии. Страна быстро становится центром блокчейн-разработок, и, как показали исследования, значительное число жертв именно из этого региона. Эксперты по кибербезопасности, такие как Дилип Кумар из Digital South Trust, призывают официальные организации вроде CERT-In и MEITY усилить защиту блокчейн-компаний и повысить осведомленность потребителей о рисках поддельных вакансий.
Также важна международная координация для пресечения таких угроз на границах цифрового мира.Для криптоэкспертов и блокчейн-разработчиков защита от RAT-атак становится насущной задачей. Рекомендуется тщательно проверять все предложения о работе, использовать официальные каналы коммуникации компаний и никогда не запускать команды на устройствах, предназначенных для работы с криптовалютами. Предпочтительно иметь отдельные смартфоны или компьютеры для проведения тестовых интервью или обработки резюме. Внедрение многофакторной аутентификации, использование антивирусных и мониторинговых инструментов, а также регулярный аудит установленных расширений для браузеров значительно сокращают риски заражения и хищения данных.
Важно отметить, что PylangGhost демонстрирует эволюцию методов кибератак — теперь злоумышленники не ограничиваются просто взломом цифровых платформ, а внедряются внутрь компаний, получая доступ к инсайдерским знаниям и ценным материалам. Эта тенденция требует повышения уровня цифровой грамотности и формирования культуры безопасности среди профессионалов в криптоиндустрии. Безопасность становится неотъемлемой частью карьеры в блокчейн-сфере.Таким образом, кампания с PylangGhost — это не только очередное проявление северокорейской киберактивности, но и наглядный пример того, как социальная инженерия интегрируется с современными вредоносными технологиями для достижения стратегических целей. Криптопрофессиям необходимо тщательно выстраивать защиту на уровне личных устройств и корпоративной инфраструктуры.
И чем более осознанно и осторожно будут подходить специалисты к вопросам безопасности, тем выше будет общий иммунитет индустрии к таким угрозам. Информационная гигиена, регулярные обновления знаний и техническая подготовка — залог успеха в борьбе с растущими вызовами цифрового мира.
