В современном мире криптовалюты и блокчейна безопасность данных приобретает ключевое значение. Последние расследования, проведённые специалистами по кибербезопасности из Cisco Talos, выявили масштабную операцию северокорейских хакерских группировок, нацеленную на сотрудников и соискателей работы в криптовалютной сфере. Новая форма вредоносного ПО, обнаруженная исследователями и получившая название PylangGhost, представляет собой удалённый доступный троян на основе Python. Этот инструмент предназначен для кражи учётных данных из кошельков и менеджеров паролей, используемых крипто-специалистами и инвесторами. Уникальность атаки заключается в использовании социальной инженерии и тщательно разработанных поддельных платформ для привлечения жертв.
Хакеры создают фальшивые сайты, имитирующие известные компании крипторынка, такие как Coinbase, Robinhood и Uniswap, чтобы завоевать доверие пользователей. Переходя по таким ресурсам, кандидатам якобы предлагают пройти собеседование с применением онлайн-тестов, направленных на проверку их навыков и знаний в области блокчейна. Однако за этой формальностью прячется истинная цель – заражение компьютерных систем вредоносным кодом. Во время «интервью» соискателей просят включить камеру и микрофон, а затем предлагают выполнить ряд команд, которые якобы обновляют драйвера для камер или видеооборудования. На самом деле, эти команды активируют вредоносное программное обеспечение, позволяющее злоумышленникам полностью контролировать устройство жертвы.
После заражения система оказывается под удалённым наблюдением, при этом злоумышленники могут похитить куки и пароли из более чем восьмидесяти различных браузерных расширений, включая популярные криптокошельки и менеджеры паролей: MetaMask, 1Password, NordPass, Phantom и другие. Такой набор инструментов позволяет хакерам получить доступ к личным средствам пользователей и украсть значительные суммы криптовалюты. Механика работы PylangGhost во многом напоминает ранее известный троян GolangGhost, но адаптирована для более широкого спектра задач. Помимо кражи данных, вредоносное ПО способно делать скриншоты, управлять файлами, собирать системную информацию, а также сохранять стабильный доступ к заражённым компьютерам для последующих атак. По мнению экспертов Cisco Talos, атаку осуществляет группировка Famous Chollima, также известная под кодовым именем Wagemole, ассоциированная с Северной Кореей.
Специалисты отмечают, что основное внимание уделяется профессионалам криптоиндустрии, особенно в Индии, что указывает на целенаправленный и детализированный подход к поиску жертв. Мотивы атак связаны с желанием накопления криптовалютных активов, которые труднее отследить и вернуть, чем традиционные деньги. История использования поддельных вакансиях и рекрутинговых процессов для внедрения вредоносного ПО у северокорейских хакеров не нова. Аналогичные методы наблюдались в предыдущих кампаниях, например, в апреле того же года были выявлены атаки на разработчиков криптопроектов, связанные с гигантской кражей на Bybit, где злоумышленники предлагали пройти фальшивые тесты, содержащие вредоносный код. Такие операции подчёркивают рост технологической зрелости хакерских группировок, их адаптацию к новым условиям и использование передовых методов социальной инженерии.
Для специалистов в сфере криптовалют и блокчейн-технологий сейчас становится крайне важным внимательно относиться к предложениям о работе, особенно если они приходят из сомнительных источников или требуют выполнения подозрительных технических действий. Использование многофакторной аутентификации, проверка подлинности рекрутеров и компаний, а также регулярное обновление антивирусного и защитного ПО способны значительно снизить риски компрометации данных. Киберэксперты советуют избегать выполнения команд, полученных от неизвестных лиц или не подтверждённых официальных представителей, и ограничить предоставление доступа к аппаратным средствам, таким как камера и микрофон, во время онлайн-собеседований. Важно помнить, что безопасность в криптопространстве во многом зависит не только от технических средств, но и от осознанности самих пользователей. Новые данные о деятельности северокорейских хакеров подчеркивают необходимость повышения киберграмотности в криптосообществе, особенно среди тех, кто ищет или меняет работу в отрасли.
Рост числа целевых атак указывает на то, что криминальные группы активно инициируют кампании, используя актуальные тренды и профессиональные интересы жертв как приманку. С учётом масштабов угрозы бизнес и профессиональное сообщество криптовалютного пространства должны объединить усилия для создания надежных систем защиты и обмена информацией о новых видах кибератак. Только комплексный подход и бдительность позволят минимизировать риски и сохранить целостность цифровых активов на фоне растущей активности хакеров Северной Кореи и других государственно-спонсируемых группировок.
