Підписуйтеся на наш телеграм канал!
Хакери з Північної Кореї створили новий вірус для кібератак на розробників криптовалют та блокчейну
Північнокорейське хакерське угруповання Famous Chollima активізувало кібератаки проти спеціалістів у сфері криптовалют та блокчейну, використовуючи новий троян PylangGhost. За даними аналітиків Cisco Talos, зловмисники створюють фейкові сайти, що імітують відомі криптобіржі та платформи, зокрема Coinbase, Robinhood і Uniswap, щоб під виглядом потенційних роботодавців отримати доступ до особистих даних і облікових записів жертв.
Схема атаки полягає у тому, що претендентам пропонують пройти онлайн-інтерв’ю, під час якого їм потрібно відвідати підроблений сайт і виконати низку дій — зокрема запустити команду для нібито встановлення драйвера для відеоінтерв’ю. У цей момент на комп’ютер завантажується архів із компонентами Python-трояна PylangGhost, серед яких програма nvidia.py, що відповідає за підключення до серверів управління та автоматичний запуск шкідливого ПЗ.
Новий троян має схожість із попередньою розробкою цієї групи — GolangGhost, але призначений для віддаленого контролю над зараженою системою та збору даних. Зокрема, PylangGhost здатен викрадати файли, паролі, cookies та інформацію з понад 80 розширень браузерів, у тому числі Metamask, 1Password, NordPass, Phantom, TronLink і MultiverseX. Зафіксовано, що основними мішенями є користувачі Windows та MacOS, хоча ризики для інших систем також існують.
Структура трояна включає шість основних файлів: запуск, обробку команд, крадіжку даних, зв’язок із сервером через RC4-шифрування, а також стиснення і розпакування інформації. В експертному звіті підкреслюється, що йдеться не просто про фішингові атаки, а про багаторівневу кампанію, спрямовану на тривалий контроль над пристроями фахівців галузі.
Відомо, що Famous Chollima не вперше використовує такі тактики — раніше група впроваджувала фейкових співробітників у компанії Європи та була причетна до масштабної крадіжки понад $1,4 мільярда в Bybit у квітні 2025 року. Експерти наголошують, що такі атаки поєднують елементи шпигунства, економічного саботажу та кіберзлочинності.