Хакерская группировка Famous Chollima, связанная с Северной Кореей, активизировала атаки на специалистов криптоиндустрии с использованием нового трояна PylangGhost. Об этом говорится в отчёте Cisco Talos, согласно которому злоумышленники выдают себя за представителей крупных криптокомпаний, таких как Coinbase, Uniswap и Robinhood, чтобы заманить жертв через фальшивые сайты и вакансии.
После прохождения поддельного «видеособеседования» пользователи запускают вредоносный ZIP-файл, содержащий Python-троян nvidia.py — ключевой элемент модульной шпионской программы. PylangGhost способен похищать пароли, cookies, данные из более 80 браузерных расширений и криптокошельков, включая Metamask, Phantom и TronLink. Основной целью остаются пользователи Windows и MacOS, в то время как Linux пока затронут не был.
Хакеры активно применяют социальную инженерию: создают поддельные вакансии, интервью и проверочные задания, а также пытаются внедрить подставных работников в реальные криптокомпании. Атаки ориентированы преимущественно на специалистов из Индии, но угроза быстро принимает глобальный характер.
Эксперты подчеркивают, что PylangGhost — это не просто вредонос, а часть многоуровневой кампании с модульной архитектурой и шифрованным каналом связи с C2-серверами, что делает его особенно опасным для экосистемы Web3.
источник
уникальность