Хакеры КНДР создали новый Python-троян для атаки на блокчейн-специалистов

• Злоумышленники из Северной Кореи запустили троян PylangGhost.
• Они используют фейковые сайты, в частности Coinbase и Uniswap, для заражения систем и кражи данных.
• Эта вредоносная программа подобна GolangGhost.

Хакерская группа Famous Chollima (также известная как Wagemole), связанная с Северной Кореей, активизировала атаки на специалистов в криптосфере, используя новую информационно-кражную программу PylangGhost. Об этом сообщило аналитическое подразделение Cisco Talos.

Согласно отчету, злоумышленники маскируются под работодателей, создавая фальшивые сайты криптобирж и фейковые вакансии, чтобы заманить жертв и украсть учетные данные с криптокошельков и менеджеров паролей.

Данная группировка уже неоднократно использовала социальную инженерию для инфицирования систем. На этот раз хакеры создали сайты, имитирующие Coinbase, Robinhood, Uniswap и другие компании, чтобы ввести жертв в заблуждение.

«Учитывая предложенные вакансии, очевидно, что Famous Chollima нацеливается на лиц с опытом в криптовалютах и блокчейн-технологиях», — отметили исследователи Cisco Talos.

Жертвам предлагают пройти онлайн-интервью: их просят посетить сайт для проверки навыков, ввести личные данные, ответить на вопросы, а затем — запустить подозрительную команду, которая якобы устанавливает драйвер для видеоинтервью. Именно в этот момент загружается вредоносный ZIP-файл, содержащий компоненты трояна PylangGhost, в частности программу nvidia.py.

Этот Python-троян – аналог уже известного GolangGhost, созданный для удаленного контроля над зараженными системами, похищения файлов, паролей, cookies, а также данных из более 80 браузерных расширений, включая Metamask, 1Password, NordPass, Phantom, TronLink, MultiverseX и другие.

По данным Cisco Talos, атаки ориентированы преимущественно на Индию, хотя глобальные риски остаются. Больше всего поражены пользователи Windows и MacOS, тогда как Linux-системы пока не подвергаются атакам.

Троян имеет модульную структуру из шести основных файлов, в частности:

• nvidia.py — запуск, связь с C2-сервером и автозапуск;
• config.py — список команд;
• command.py — обработка команд;
• auto.py — кража браузерных данных;
• api.py — коммуникация с сервером по RC4-шифрованию;
• util.py — сжатие и распаковка данных.

«Это не просто фишинг — это изощренная многоуровневая атака на криптосообщество с целью сбора ценных данных и длительного контроля над устройствами», — говорится в отчете экспертов.

Сценарий, по которому действует Famous Chollima, включает две основные тактики:

• выдавать себя за работодателей и собирать данные с реальных соискателей;
• внедрять подставных работников в компании-жертвы.

Это не первый случай: в апреле 2025 года хакеры, связанные с кражей $1,46 млрд у Bybit, использовали похожие фейковые тесты для разработчиков.

«Эти атаки демонстрируют, как киберпреступность все теснее интегрируется с элементами шпионажа и экономического саботажа», — предупреждают эксперты по безопасности.

Ранее мы писали о злоумышленниках из КНДР, которые, выдавая себя за IT-специалистов с удаленной работой, нацелились на компании в Германии, Португалии, Великобритании и других странах Европы.

Источник