В последние годы область криптовалют привлекает не только инвесторов и стартапы, но и профессиональных киберпреступников. По данным исследователей кибербезопасности, с середины 2024 года Северокорейская хакерская группа, известная под кодовым названием Famous Chollima, активизировала атаки на сотрудников ведущих криптовалютных компаний, применяя инновационный и тщательно замаскированный метод проникновения. Ключевым элементом этой кампании стало распространение вредоносного программного обеспечения под видом заявок на работу, поставляемых через поддельные сайты известных фирм из индустрии блокчейна. Злоумышленники имитируют платформы и карьерные страницы таких признанных игроков рынка, как Coinbase, Robinhood и Uniswap, создавая максимально убедительные фейковые ресурсы. В этом фишинговом процессе потенциальных жертв — специалистов в области блокчейн-технологий, маркетинга и дизайна — заманивают пройти так называемые «тесты на навыки».
Эти тесты, являясь лишь ширмой, в конечном итоге предлагают загрузить и запустить вредоносное ПО, замаскированное под драйверы видеокарты. Установка программного обеспечения происходит через выполнение пользователем команд в терминале, что позволяет скрытно скачать и запустить Python-версию трояна удаленного доступа, известного под названием PylangGhost. Эта разновидность вредоносного кода является эволюцией ранее обнаруженного GolangGhost, но переписана на Python для большей эффективности на системах Windows, которые в наибольшей степени используются сотрудниками криптоиндустрии. Вредоносная программа обладает широким функционалом: от сохранения устойчивого присутствия в системе до сбора данных о системе, передачи файлов, предоставления удаленного доступа к командной строке и похищения данных из браузеров. Особое внимание уделяется краже информации из расширений криптовалютных кошельков и менеджеров паролей, таких как MetaMask, Phantom, TronLink и 1Password, что повышает риск финансовых потерь и компрометации учетных записей криптопользователей.
PylangGhost использует шифрование трафика с помощью устаревшего алгоритма RC4 поверх протокола HTTP. Несмотря на слабость шифра и отсутствие HTTPS, подобные меры усложняют обнаружение и анализ сетевой активности вредоносного ПО, позволяя скрыть обмен данными с командным сервером злоумышленников. По словам экспертов Cisco Talos, кибератаки преимущественно нацелены на специалистов из Индии, где концентрируется значительное число талантливых разработчиков и специалистов в области блокчейн стартапов. Хотя из доступных данных нет подтверждений, что атаки уже привели к компрометации корпоративных сетей, степень угрозы усугубляется, поскольку инфицированные компьютеры могут послужить точкой входа для дальнейших инцидентов с участием криптовалютных компаний мирового уровня. Группа Famous Chollima известна своими кибератаками, направленными на добычу финансовых средств и проведение разведывательных операций в пользу Северной Кореи.
Актуальность данного направления уязвимости является серьезным предостережением для индустрии блокчейна и криптовалют, где технологические прорывы часто сопровождаются и высокими рисками информационной безопасности. Нельзя недооценивать угрозу целевых атак на кадровый ресурс отрасли, ведь через компрометацию отдельных экспертов злоумышленники могут получить доступ к конфиденциальной информации компаний, развертывать вредоносные операции или похищать средства пользователей криптоплатформ. Современные методы социальной инженерии, использующиеся хакерами, свидетельствуют о высоком уровне подготовки и серьезности угрозы. Имитация официальных сайтов и создание тестов представляют собой эффективные уловки, способные обмануть даже технически подкованных специалистов. Важно, чтобы компании криптоиндустрии повышали уровень информационной безопасности, вводили обязательные процессы проверки подлинности вакансий и обучения сотрудников противодействию фишинговым атакам.
Каждому специалисту, работающему в блокчейн-секторе, рекомендуется проявлять внимательность и критический подход к поступающей от работодателей информации, особенно если речь идет о загрузке программ или выполнении непроверенных команд. Киберугрозы, подобные обнаруженной кампании с PylangGhost, требуют комплексных технических и организационных мер. Использование многофакторной аутентификации, регулярное обновление программного обеспечения и бдительный анализ подозрительной активности могут существенно снизить риски успешного проникновения вредоносного ПО. В свете роста числа атак, направленных на криптоспециалистов, появляется острая необходимость создания отраслевых стандартов безопасности, обмена информацией между компаниями и разработки более надежных механизмов защиты. Северокорейская киберпреступность продолжает развиваться, нацеливаясь на денежные потоки и технологические наработки новых секторов экономики.
В ответ криптосообщество и компании, работающие с цифровыми активами, должны усиливать взаимное сотрудничество и привлекать внимание регуляторов и профильных организаций, чтобы противостоять сложным и хорошо организованным кибератакам. Таким образом, важно оставаться информированными и подготовленными к новым вызовам в области кибербезопасности, особенно в столь динамичном и привлекательном для злоумышленников сегменте, как блокчейн и криптовалюты. Поддержка надежных каналов связи и внедрение передовых технологий защиты помогут не только предотвратить потенциальные атаки, но и сохранить доверие пользователей, инвестиции и репутацию компаний в глобальном масштабе.
