چکیده
- گروه هکری کره شمالی با استفاده از بدافزار مبتنی بر پایتون به کارگران ارز دیجیتال حمله میکند.
- این بدافزار به نام PylangGhost، نسخهای از GolangGhost است و به دنبال نفوذ به شرکتها از طریق افراد است.
- مهاجمان با جعل هویت شرکتهای بزرگ ارز دیجیتال، قربانیان را به نصب بدافزار از طریق آزمونهای مهارت جعلی ترغیب میکنند.
حمله بدافزاری به کارگران ارز دیجیتال توسط گروه هکری کره شمالی
گروه هکری کره شمالی در حال هدف قرار دادن کارگرانی در حوزه ارز دیجیتال با بدافزار مبتنی بر پایتون است که به صورت بخشی از فرآیند درخواست شغلی جعلی ظاهر میشود. این اطلاعات توسط محققان سیسکو تالوس منتشر شد.
به نظر میرسد اکثر قربانیان در هند مستقر هستند و افرادی با تجربه پیشین در استارتاپهای بلاکچین و ارزهای دیجیتال هستند. با وجود اینکه سیسکو شواهدی از نفوذ داخلی گزارش نکرده است، خطر گستردهتر این تلاشها برای دسترسی به شرکتهایی است که این افراد ممکن است در آینده به آنها بپیوندند.
این بدافزار به نام PylangGhost، نسخهای جدید از تروجان دسترسی از راه دور GolangGhost است و اکثر ویژگیهای مشابه را دارد؛ فقط به زبان پایتون بازنویسی شده تا بهینهتر در سیستمهای ویندوزی عمل کند.
کاربران مک همچنان تحت تأثیر نسخه Golang قرار دارند، در حالی که سیستمهای لینوکس به نظر میرسد تحت تأثیر قرار نگرفتهاند. بازیگر تهدید که به عنوان Famous Chollima شناخته میشود، از اواسط سال ۲۰۲۴ فعال است و به نظر میرسد با گروه کره شمالی همسو باشد.
آخرین روش حمله آنها ساده است: با جعل هویت شرکتهای بزرگ ارز دیجیتال مانند Coinbase، Robinhood و Uniswap از طریق سایتهای شغلی جعلی و جذب مهندسان نرمافزار، بازاریابها و طراحان به انجام آزمایشهای مهارتی ساختگی.
پس از پر کردن اطلاعات اساسی و پاسخ به سوالات فنی، قربانیان به نصب درایورهای ویدیوی جعلی متقاعد میشوند که به آرامی تروجان مبتنی بر پایتون را دانلود و اجرا میکند.
بار بدافزار در یک فایل ZIP پنهان شده که شامل مفسر پایتون با نام تغییر یافته (nvidia.py)، اسکریپت ویژوال بیسیک برای باز کردن فایل فشرده و شش ماژول اصلی برای حفظ حضور، شناسایی سیستم، انتقال فایل، دسترسی به شل از راه دور و سرقت دادههای مرورگر است.
تروجان دسترسی از راه دور، اطلاعات ورود، کوکیهای جلسه و دادههای کیف پول را از بیش از ۸۰ افزونه از جمله MetaMask، Phantom، TronLink و 1Password استخراج میکند.
فرمانها به مهاجمان اجازه میدهند تا کنترل کامل بر روی سیستمهای آلوده داشته باشند، از جمله بارگذاری و دانلود فایلها، شناسایی سیستم و راهاندازی یک شل – که همه از طریق بستههای HTTP رمزگذاریشده با RC4 انجام میشود.
بستههای HTTP رمزگذاریشده با RC4 دادههایی هستند که از طریق اینترنت ارسال میشوند و با استفاده از روشی قدیمی به نام RC4 رمزگذاری شدهاند. با وجود اینکه اتصال خود (HTTP) امن نیست، دادهها به صورت رمزگذاریشده منتقل میشوند. اما این رمزگذاری به دلیل قدیمی بودن RC4، به راحتی توسط استانداردهای امروزی شکسته میشود.
با وجود بازنویسی، ساختار و نامگذاریهای PylangGhost کاملاً با GolangGhost مشابه است، که نشان میدهد هر دو احتمالاً توسط یک مجری نوشته شدهاند، به گفته سیسکو.
