Gli hacker nordcoreani usano il malware PylangGhost per falsificare i loro lavori in ambito crittografico

Secondo una nuova ricerca di Cisco Talos, una nuova serie di attacchi informatici sta prendendo di mira i professionisti dei settori crypto e blockchain utilizzando false truffe di reclutamento. Gli aggressori, collegati a un gruppo nordcoreano noto come Famous Chollima , si spacciano per aziende legittime per indurre le vittime a installare malware camuffati da driver video.

Il gruppo è attivo almeno dalla metà del 2024, ed era già noto per tattiche come falsi annunci di lavoro per sviluppatori e colloqui fraudolenti. Quest'ultimo sviluppo mostra un'evoluzione dell'operazione, ora con un nuovo malware basato su Python chiamato PylangGhost, una variante del trojan GolangGhost precedentemente identificato.

Le vittime vengono contattate da falsi reclutatori che offrono posizioni lavorative presso aziende apparentemente operanti nel settore delle criptovalute. I bersagli sono spesso sviluppatori di software, addetti al marketing e designer con esperienza nel settore delle criptovalute.

Una volta stabilito il contatto, la vittima viene indirizzata a una falsa pagina di valutazione delle competenze, progettata per sembrare appartenente a una vera azienda, tra cui nomi noti come Coinbase, Robinhood, Uniswap e altri.

Queste pagine utilizzano il framework React e riproducono fedelmente le interfacce aziendali reali. Dopo aver inserito i dati personali e completato il test, ai candidati viene chiesto di registrare un video di presentazione per il team di selezione. Per farlo, viene chiesto loro di installare i "driver video" copiando e incollando i comandi nel terminale.

Questo passaggio scarica il malware.

Secondo il post sul blog di Cicso Talos, se la vittima segue le istruzioni su un sistema Windows o macOS, viene scaricato un file ZIP dannoso. Contiene il trojan PylangGhost basato su Python e gli script correlati. Il malware si decomprime, viene eseguito in background e fornisce agli aggressori l'accesso remoto al computer della vittima.

La versione Python funziona in modo quasi identico alla sua controparte basata su Go. Si installa automaticamente all'avvio del sistema, raccoglie informazioni di sistema e si connette a un server di comando e controllo. Una volta attivo, può ricevere ed eseguire comandi remoti, raccogliere credenziali e rubare dati del browser, incluse password e chiavi di criptovalute .

Secondo Talos, il malware prende di mira più di 80 diverse estensioni del browser, tra cui gestori di password e portafogli digitali ampiamente utilizzati come MetaMask, 1Password, NordPass e Phantom.

Il malware utilizza la crittografia RC4 per comunicare con il suo server. Sebbene il flusso di dati sia crittografato, la chiave di crittografia viene inviata insieme ai dati, limitando la sicurezza di questo metodo. Tuttavia, la configurazione lo rende mimetizzato nel traffico regolare e ne rende più difficile il rilevamento.

L'obiettivo di questa operazione è duplice. In primo luogo, consente agli aggressori di raccogliere dati personali sensibili da persone in cerca di lavoro. In secondo luogo, apre le porte all'inserimento di falsi dipendenti in aziende reali, il che potrebbe portare a infiltrazioni a lungo termine e all'accesso a preziosi dati finanziari o infrastrutture software.

Finora è stato confermato solo un piccolo numero di vittime, principalmente in India. Gli utenti Linux non sono interessati da questa particolare campagna. Nessun cliente Cisco sembra essere stato colpito al momento.

Talos sottolinea che lo sviluppo del malware non sembra coinvolgere la generazione di codice AI e la struttura delle versioni Python e Go suggerisce che entrambe siano state create dagli stessi sviluppatori.

Se ti stai candidando per ruoli nel settore delle criptovalute o della tecnologia, fai attenzione agli annunci di lavoro che richiedono di installare software o eseguire comandi da terminale durante un colloquio. Le aziende serie non lo richiederanno.

I team di sicurezza informatica dovrebbero rivedere i processi di onboarding dei dipendenti , soprattutto per le assunzioni da remoto, e informare il personale su questi tipi di attacchi di ingegneria sociale. Anche il monitoraggio di connessioni in uscita inaspettate o download di file ZIP anomali può aiutare a individuare precocemente i segnali di compromissione.