Deel dit artikel
Noord-Koreaanse hackers richten zich op toonaangevende cryptobedrijven met malware verborgen in sollicitaties
Een groep die gelinkt is aan de DPRK gebruikt nep-vacaturesites en Python-malware om Windows-systemen van blockchain-professionals te infiltreren — met het stelen van inloggegevens en het verkrijgen van externe toegang als einddoel.
Wat u moet weten:
- Een Noord-Koreaans hackersgroep maakt gebruik van op Python gebaseerde malware, vermomd als valse sollicitaties, om medewerkers in de crypto-industrie te targeten.
- De malware, PylangGhost, is een variant van GolangGhost en heeft als doel bedrijven te infiltreren door individuen te compromitteren.
- Aanvallers doen zich voor als toonaangevende cryptobedrijven en lokken slachtoffers om malware te installeren via valse vaardigheidstests.
Een Noord-Koreaans hackgroep richt zich op cryptowerknemers met Python-gebaseerde malware, vermomd als onderdeel van een nep sollicitatieprocedure, aldus onderzoekers van Cisco Talos zei eerder deze week.
De meeste slachtoffers lijken gevestigd te zijn in India, volgens open-source signalen, en lijken individuen te zijn met eerdere ervaring in blockchain- en cryptocurrency-startups.
Verhaal gaat verder
Mis geen enkel verhaal.Abonneer je vandaag nog op de The Protocol Nieuwsbrief. Bekijk Alle Nieuwsbrieven
Hoewel Cisco meldt geen bewijs te hebben van interne compromittering, blijft het bredere risico duidelijk: dat deze pogingen gericht zijn op toegang tot de bedrijven waar deze personen mogelijk uiteindelijk werkzaam zullen zijn.
De malware, genaamd PylangGhost, is een nieuwe variant van de eerder gedocumenteerde GolangGhost remote access trojan (RAT) en deelt de meeste van dezelfde kenmerken — slechts herschreven in Python om Windows-systemen beter te kunnen targeten.
Mac-gebruikers blijven last houden van de Golang-versie, terwijl Linux-systemen schijnbaar onaangetast blijven. De dreigingsactor achter de campagne, bekend als Famous Chollima, is sinds medio 2024 actief en wordt beschouwd als een door de DPRK gesteunde groep.
Hun nieuwste aanvalsmethode is eenvoudig: zich voordoen als toonaangevende cryptobedrijven zoals Coinbase, Robinhood en Uniswap via zeer professioneel ogende nep-carrièrewebsites, en softwareontwikkelaars, marketeers en ontwerpers lokken om gesimuleerde “vaardigheidstests” af te leggen.
Zodra een doelwit basisinformatie invult en technische vragen beantwoordt, wordt hen gevraagd nepvideostuurprogramma’s te installeren door een opdracht in hun terminal te plakken, waarmee stilletjes de op Python gebaseerde RAT wordt gedownload en gestart.
De payload is verborgen in een ZIP-bestand dat de hernoemde Python-interpreter (nvidia.py), een Visual Basic-script om het archief uit te pakken, en zes kernmodules bevat die verantwoordelijk zijn voor persistentie, systeemafdrukking, bestandsoverdracht, externe shell-toegang en diefstal van browsergegevens.
De RAT verzamelt inloggegevens, sessiecookies en portemonneegegevens van meer dan 80 extensies, waaronder MetaMask, Phantom, TronLink en 1Password.
De opdrachtset maakt volledige externe controle van geïnfecteerde machines mogelijk, inclusief het uploaden en downloaden van bestanden, systeemverkenning en het starten van een shell — allemaal via RC4-versleutelde HTTP-pakketten geleid.
RC4-versleutelde HTTP-pakketten zijn gegevens die via het internet worden verzonden en versleuteld zijn met een verouderde encryptiemethode genaamd RC4. Hoewel de verbinding zelf niet beveiligd is (HTTP), zijn de gegevens binnenin wel versleuteld, maar niet erg goed, aangezien RC4 verouderd is en gemakkelijk te kraken valt volgens de huidige normen.
Hoewel het een herschrijving betreft, weerspiegelen de structuur en naamgevingsconventies van PylangGhost die van GolangGhost vrijwel exact, wat suggereert dat beide waarschijnlijk door dezelfde operator zijn geschreven, aldus Cisco.
Lees meer: Noord-Koreaanse hackers richten zich op crypto-ontwikkelaars via Amerikaanse schijnfirma's
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solana’s Drift lanceert v3, met 10x snellere transacties
Met v3 zegt het team dat ongeveer 85% van de marktorders binnen een halve seconde zal worden uitgevoerd, en dat de liquiditeit voldoende zal toenemen om de slippage bij grotere transacties terug te brengen tot ongeveer 0,02%.
需要了解的:
- Drift, een van de grootste perpetual trading platforms op Solana, heeft Drift v3 gelanceerd, een belangrijke upgrade die bedoeld is om on-chain trading net zo snel en soepel te laten aanvoelen als het gebruik van een gecentraliseerde beurs.
- De nieuwe versie zal een 10 keer snellere handelsuitvoering bieden dankzij een herbouwde backend, wat de grootste prestatietoename is die het project tot nu toe heeft gerealiseerd.
Topverhalen
