朝鲜黑客利用隐藏在求职申请中的恶意软件，针对顶级加密公司发动攻击

据思科Talos研究人员称，朝鲜黑客组织正在利用以Python为基础的恶意软件，伪装成假招聘流程的一部分，针对加密货币从业人员发动攻击。早些时候表示 本周。

根据开源信号显示，大多数受害者似乎位于印度，且多为在区块链和加密货币初创企业中具有先前经验的个人。

尽管思科报告称未发现内部被攻破的证据，但更广泛的风险依然显而易见：这些攻击活动试图获取这些个人未来可能加入的公司的访问权限。

该恶意软件名为 PylangGhost，是此前已知的 GolangGhost 远程访问特洛伊木马（RAT）的新变种，具备大部分相同功能——仅以 Python 重新编写，以更好地针对 Windows 系统。

Mac 用户继续受到 Golang 版本的影响，而 Linux 系统似乎未受影响。该活动背后的威胁行为者被称为 Famous Chollima，自 2024 年中期开始活跃，被认为是与朝鲜民主主义人民共和国（DPRK）相关联的组织。

他们最新的攻击手法很简单：通过高度精心制作的假冒职业网站，冒充 Coinbase、Robinhood 和 Uniswap 等顶级加密公司，诱使软件工程师、市场营销人员和设计师完成有预设的“技能测试”。

一旦目标填写了基本信息并回答了技术问题，系统会提示他们通过将命令粘贴到终端中来安装伪造的视频驱动程序，该命令会静默下载并启动基于 Python 的远程访问工具（RAT）。

载荷被隐藏在一个 ZIP 文件中，该文件包含重命名的 Python 解释器（nvidia.py）、用于解压缩归档的 Visual Basic 脚本，以及六个负责持久性、系统指纹识别、文件传输、远程 shell 访问和浏览器数据窃取的核心模块。

该远程访问木马（RAT）从包括 MetaMask、Phantom、TronLink 及 1Password 在内的超过 80 个扩展程序中窃取登录凭证、会话 Cookie 及钱包数据。

该命令集允许对受感染的机器进行全面远程控制，包括文件上传、下载、系统侦察以及启动 shell —— 所有操作均通过 RC4 加密的 HTTP 数据包传输。

RC4 加密的 HTTP 数据包是指通过互联网传输的、使用一种过时的加密方法 RC4 进行混淆的数据。尽管连接本身不安全（HTTP），但其中的数据是加密的，只是加密强度较弱，因为按照现有标准，RC4 已经过时且容易被破解。

尽管是重写版本，PylangGhost 的结构和命名惯例几乎完全镜像 GolangGhost，这表明两者很可能由同一运营者编写，Cisco 表示。

阅读更多：朝鲜黑客利用美国空壳公司针对加密货币开发者