• bitcoinBitcoin (BTC) $ 62,013.00
  • ethereumEthereum (ETH) $ 1,740.83
  • tetherTether (USDT) $ 0.999132
  • usd-coinUSDC (USDC) $ 0.999925
  • tronTRON (TRX) $ 0.327570
  • dogecoinDogecoin (DOGE) $ 0.071912
  • leo-tokenLEO Token (LEO) $ 9.44
  • zcashZcash (ZEC) $ 463.07
  • cardanoCardano (ADA) $ 0.166882
  • stellarStellar (XLM) $ 0.181576
  • moneroMonero (XMR) $ 321.61
  • chainlinkChainlink (LINK) $ 7.60
  • bitcoin-cashBitcoin Cash (BCH) $ 232.12
  • daiDai (DAI) $ 0.999578
  • litecoinLitecoin (LTC) $ 43.66
  • hedera-hashgraphHedera (HBAR) $ 0.069047
  • crypto-com-chainCronos (CRO) $ 0.056823
  • okbOKB (OKB) $ 77.64
  • ethereum-classicEthereum Classic (ETC) $ 6.93
  • kucoin-sharesKuCoin (KCS) $ 6.80
  • cosmosCosmos Hub (ATOM) $ 1.56
  • algorandAlgorand (ALGO) $ 0.084334
  • true-usdTrueUSD (TUSD) $ 0.997566
  • dashDash (DASH) $ 33.86
  • vechainVeChain (VET) $ 0.004689
  • tezosTezos (XTZ) $ 0.247455
  • decredDecred (DCR) $ 11.00
  • iotaIOTA (IOTA) $ 0.036844
  • neoNEO (NEO) $ 1.89
  • basic-attention-tokenBasic Attention (BAT) $ 0.084157
  • qtumQtum (QTUM) $ 0.683277
  • 0x0x Protocol (ZRX) $ 0.084999
  • ravencoinRavencoin (RVN) $ 0.003677
  • ontologyOntology (ONT) $ 0.045506
  • paxos-standardPax Dollar (USDP) $ 0.999440
  • iconICON (ICX) $ 0.023978
  • wavesWaves (WAVES) $ 0.257230
  • liskLisk (LSK) $ 0.084195
  • bitcoin-diamondBitcoin Diamond (BCD) $ 0.061182
  • huobi-tokenHuobi (HT) $ 0.079817
Безопасность

Хакеры КНДР создали новый Python-троян для атаки на блокчейн-специалистов

  • Злоумышленники из Северной Кореи запустили троян PylangGhost.
  • Они используют фейковые сайты, в частности Coinbase и Uniswap, для заражения систем и кражи данных.
  • Эта вредоносная программа подобна GolangGhost.

Хакерская группа Famous Chollima (также известная как Wagemole), связанная с Северной Кореей, активизировала атаки на специалистов в криптосфере, используя новую информационно-кражную программу PylangGhost. Об этом сообщило аналитическое подразделение Cisco Talos.

Согласно отчету, злоумышленники маскируются под работодателей, создавая фальшивые сайты криптобирж и фейковые вакансии, чтобы заманить жертв и украсть учетные данные с криптокошельков и менеджеров паролей.

Данная группировка уже неоднократно использовала социальную инженерию для инфицирования систем. На этот раз хакеры создали сайты, имитирующие Coinbase, Robinhood, Uniswap и другие компании, чтобы ввести жертв в заблуждение.

«Учитывая предложенные вакансии, очевидно, что Famous Chollima нацеливается на лиц с опытом в криптовалютах и блокчейн-технологиях», — отметили исследователи Cisco Talos.

Жертвам предлагают пройти онлайн-интервью: их просят посетить сайт для проверки навыков, ввести личные данные, ответить на вопросы, а затем — запустить подозрительную команду, которая якобы устанавливает драйвер для видеоинтервью. Именно в этот момент загружается вредоносный ZIP-файл, содержащий компоненты трояна PylangGhost, в частности программу nvidia.py.

Этот Python-троян – аналог уже известного GolangGhost, созданный для удаленного контроля над зараженными системами, похищения файлов, паролей, cookies, а также данных из более 80 браузерных расширений, включая Metamask, 1Password, NordPass, Phantom, TronLink, MultiverseX и другие.

По данным Cisco Talos, атаки ориентированы преимущественно на Индию, хотя глобальные риски остаются. Больше всего поражены пользователи Windows и MacOS, тогда как Linux-системы пока не подвергаются атакам.

Троян имеет модульную структуру из шести основных файлов, в частности:

  • nvidia.py — запуск, связь с C2-сервером и автозапуск;
  • config.py — список команд;
  • command.py — обработка команд;
  • auto.py — кража браузерных данных;
  • api.py — коммуникация с сервером по RC4-шифрованию;
  • util.py — сжатие и распаковка данных.

«Это не просто фишинг — это изощренная многоуровневая атака на криптосообщество с целью сбора ценных данных и длительного контроля над устройствами», — говорится в отчете экспертов.

Сценарий, по которому действует Famous Chollima, включает две основные тактики:

  • выдавать себя за работодателей и собирать данные с реальных соискателей;
  • внедрять подставных работников в компании-жертвы.

Это не первый случай: в апреле 2025 года хакеры, связанные с кражей $1,46 млрд у Bybit, использовали похожие фейковые тесты для разработчиков.

«Эти атаки демонстрируют, как киберпреступность все теснее интегрируется с элементами шпионажа и экономического саботажа», — предупреждают эксперты по безопасности.

Ранее мы писали о злоумышленниках из КНДР, которые, выдавая себя за IT-специалистов с удаленной работой, нацелились на компании в Германии, Португалии, Великобритании и других странах Европы.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»