В последние годы Северная Корея все активнее проявляет себя как один из самых опасных киберугроз в мире, особенно в сфере криптовалют и блокчейн-технологий. Недавние разоблачения показывают, что хакерские группы, связанные с Пхеньяном, запустили новые мошеннические кампании, направленные на профессионалов криптоиндустрии. Центральным элементом этих атак стал новый тип вредоносного программного обеспечения под названием PylangGhost, разработанного на языке Python. Целью этих кибератак являются специалисты, имеющие глубокие знания и опыт работы с криптовалютами, платформами обмена и технологиями блокчейна. Атакующие используют социальную инженерию и тщательно продуманную фишинговую тактику, создавая поддельные объявления о вакансиях от имени известных компаний отрасли, таких как Coinbase, Uniswap и Robinhood.
Эти объявлений размещаются на фальшивых сайтах и распространяются через каналы, где потенциальные жертвы обычно ищут работу. Стартом мошеннической кампании обычно становится фальшивое приглашение на собеседование, где кандидаты просят пройти тесты и технические задания для оценки их навыков. В процессе таких собеседований злоумышленники вынуждают жертв предоставлять личные данные и вводить команды, маскирующиеся под установку драйверов видеокарты или иное системное ПО. На самом деле эти команды активируют на устройстве malware PylangGhost, который обеспечивает хакерам удаленный доступ и возможность кражи ценной информации. PylangGhost представляет собой модифицированный троян удаленного доступа, способный красть конфиденциальные данные из более чем восьмидесяти браузерных расширений.
Среди пострадавших оказались популярные менеджеры паролей и криптокошельки, такие как Metamask, 1Password, NordPass, Phantom и другие. Кража сессионных cookie и сохранённых паролей позволяет злоумышленникам получить полный контроль над аккаунтами жертв и осуществлять операции без ведома владельцев. Эффективность этой кампании доказана серьезной злоупотребляемостью и сложностью используемых методов. Во многих случаях жертвам предлагается не только загрузить вредоносное ПО, но и пройти видеоинтервью с включенной камерой, что дополнительно повышает уровень доверия и создает иллюзию легитимности. Это позволяет злоумышленникам не только проникать в системы жертв, но и собирать сведения о их окружении и поведении.
Аналитики и эксперты подчеркивают, что данный тип атак является эволюцией более ранних кампаний Северной Кореи под названиями "Contagious Interview" и "DeceptiveDevelopment", которые уже с 2023 года преследуют криптопрофессионалов по всему миру. Использование разнообразных технических приемов и создание десятков фейковых сайтов с правдоподобными доменными именами делают борьбу с подобными угрозами особенно сложной. Совместное заявление представителей Японии, Южной Кореи и США подтвердило, что за 2024 год киберпреступные группировки Северной Кореи, включая печально известную Lazarus Group, осуществили криминальные операции с криптовалютами на сумму более 659 миллионов долларов. Помимо прямых хищений средств, атаки на индивидуальных специалистов и внутренние системы криптокомпаний обеспечивают плодотворную почву для внедрения шпионских и саботажных программных продуктов. Важной проблемой, на которую указывают эксперты в области кибербезопасности, является недостаточная осведомленность криптоспециалистов и компаний о возможных угрозах, исходящих от подобных атак.
Многие жертвы не распознают попытки обмана на начальных этапах, тем самым способствуя успеху злоумышленников. Особенно актуальна ситуация в Индии, где наблюдается активная целевая кампания хакеров, и где необходимые меры контрмер пока что не на должном уровне. Для борьбы с опасной активностью советуют внедрять обязательные аудиты кибербезопасности в блокчейн-компаниях, а также отслеживать фальшивые сайты и мошеннические вакансии. Национальные и международные организации должны усиливать координацию и разрабатывать нормативную базу, способную быстро реагировать на возникающие угрозы и обеспечивать правовые механизмы наказания за киберпреступления. Отдельно стоит отметить, что ранее в 2024 году был выявлен схожий инцидент, связанный с поддельными американскими компаниями BlockNovas LLC и SoftGlide LLC, созданными с целью распространения вредоносного ПО через собеседования.
Впоследствии домен BlockNovas был изъят правоохранительными органами, что стало одним из редких положительных исходов по данному направлению. В свете произошедших событий криптосообщество обязано уделять особое внимание проверке источников вакансий и внедрять многоуровневые методы аутентификации для защиты от несанкционированного доступа. Необходимо проводить регулярное обучение сотрудников, повышая уровень цифровой грамотности и осторожности в отношении подозрительных предложений. В целом, деятельность Северной Кореи в киберпространстве демонстрирует стремление использовать высокотехнологичные инструменты для получения преимуществ в международной экономической и политической сфере. Преступные кибероперации, направленные на криптопрофи, свидетельствуют о новом этапе эскалации угроз, требующем комплексного подхода и современных решений на государственном и корпоративном уровнях.
Понимание тактики и инструментов, используемых злоумышленниками, является ключом к успешному противодействию. Инновационные меры защиты, тщательный мониторинг и объединение усилий различных стран и организаций могут значительно сократить ущерб и повысить устойчивость криптоиндустрии к кибератакам. Только синергия технологий, законодательства и информационной безопасной культуры сможет обеспечить защиту одного из наиболее динамичных и перспективных секторов современной экономики.
