印度加密求职者面临来自朝鲜黑客的新恶意软件威胁

据报道，与朝鲜政府有关联的黑客正在针对印度的加密货币专业人士发起新的、高度针对性的恶意软件攻击。 网络安全公司思科 Talos袭击者被确认为一个被称为 名牌千里马，利用虚假的求职面试和欺诈性技能测试网站，用一种新的基于 Python 的远程访问木马 (RAT) 感染用户的设备，该木马被称为 PylangGhost.

此次行动自2024年年中开始，标志着朝鲜不断扩大的加密货币间谍活动的最新篇章。思科Talos研究人员透露，攻击者冒充Coinbase等知名加密货币公司的招聘人员， Uniswap、Robinhood 和 Archblock。他们的主要目标客户是软件工程师、营销专业人士以及其他区块链和数字资产领域的专家。

求职诱惑和虚假面试

该活动始于社会工程学。受害者会被所谓的招聘人员联系，并被邀请访问看似真实的合法公司招聘页面。这些网站提供技能评估测试，并要求受害者提供敏感信息，例如全名、简历、钱包地址和凭证。

然后，求职者会被指示启用摄像头和麦克风，以便进行视频面试。在此阶段，假招聘人员会要求受害者运行某些伪装成视频驱动程序安装的命令，从而触发视频驱动程序的安装。 PylangGhost 恶意软件。

思科 Talos 团队确认，该 RAT 可让黑客完全远程控制受感染的系统，并能够从 80 多个浏览器扩展程序中窃取凭证和 Cookie。这些扩展程序包括广泛使用的密码管理器和加密货币钱包，例如 MetaMask、1Password、NordPass、Phantom、TronLink 和 MultiverseX.

具有持久访问权限的高级恶意软件

PylangGhost 是基于 Python 的、之前已知的威胁的演变版本，名为 GolangGhost. 新的变种目标 Windows系统 专门用于窃取数据并维持对受感染机器的持续访问。据思科 Talos 称，Linux 系统似乎并未在这波攻击中受到影响。

该恶意软件可以执行各种命令：截取屏幕截图、获取系统详细信息、管理文件以及建立持续的远程控制。它通过多个注册在看似可信的域名下的命令与控制服务器进行操作，例如 quickcamfix.online or autodriverfix.online.

与以往的诈骗不同，此次活动并非以大规模网络钓鱼或直接从交易所窃取信息为重点。相反，这是一场针对加密货币行业专业人士的外科手术式打击，这些人能够访问关键基础设施、内部工具和敏感数据。

印度：高价值目标

印度是区块链发展最快的中心之一，已成为其主要目标。许多在全球加密平台上工作的专业人士都驻扎在印度，而这一新战略恰好契合了这种人才集中的现状。

根据 迪利普·库马尔 HV数字南方信托公司董事表示，印度需要紧急改革来应对此类威胁。他呼吁 区块链公司必须接受网络安全审计、加强对虚假招聘门户网站的监控以及印度《信息技术法》下的法律改革。

发现有前途的项目...

有前景的项目...

文章继续...

他还敦促政府机构 认证中心, 美蒂及 全国临床咨询委员会 加强合作，开展公众意识运动，并与其他司法管辖区共享情报。

数字间谍活动日益猖獗

虚假工作邀请已经成为朝鲜网络攻击的惯用手段。 拉撒路集团另一个与朝鲜有关的黑客组织在 2024 年早些时候也使用了类似的策略。他们 创建 虚假的美国公司，例如 BlockNovas有限责任公司 和 SoftGlide有限责任公司 引诱加密开发人员进行充满恶意软件的采访。

在一次事件中，Lazarus 黑客冒充前承包商入侵了 Radiant Capital，导致其损失 50 万美元。日本、韩国和美国最近发表的联合声明证实， 与朝鲜有关的团体窃取了价值 659 亿美元的加密货币 仅在2024中。

这些活动不仅仅是为了盗窃。它们越来越倾向于收集情报，并从内部渗透加密货币公司。其最终目标似乎既是经济利益，也是对区块链系统和数据的战略控制。

对策与未来之路

思科 Talos 的报告为加密货币领域的专业人士敲响了警钟。该公司建议求职者在求职过程中要提高警惕，尤其是在接触新平台、陌生的招聘人员或未知的网址时。

建议专业人士：

• 避免在面试期间安装软件或运行命令。
• 验证公司和招聘人员的合法性。
• 使用端点保护和反恶意软件工具。
• 定期更新密码并启用双因素身份验证。

公司还应加强内部控制，并确保员工接受培训以发现和报告社会工程行为。