북한 해커는 파이썬 기반 맬웨어를 사용하여 최고 암호화 회사에 침투하고 있습니다.

북한 해커는 구직 응용 프로그램에 맬웨어가 숨겨진 최고의 암호화 회사를 목표로하고 있습니다.

DPRK 연결 그룹은 가짜 작업 사이트와 파이썬 맬웨어를 사용하여 블록 체인 전문가의 Windows 시스템에 자격 증명 도난 및 원격 액세스가 최종 게임으로 침투합니다.

2025 년 6 월 20 일 오전 8시 38 분

북한 해킹 그룹은 가짜 구직 응용 프로그램 프로세스의 일환으로 위장한 파이썬 기반 맬웨어를 가진 암호화 직원을 대상으로하고 있습니다. Cisco Talos의 연구원 앞서 말했다 이번 주.

오픈 소스 신호에 따르면 대부분의 피해자는 인도에 기반을두고있는 것으로 보이며 블록 체인 및 암호 화폐 신생 기업에 대한 이전 경험이있는 개인 인 것 같습니다.

Cisco는 내부 타협의 증거를보고하지 않지만 더 넓은 위험은 여전히 ​​분명합니다. 이러한 노력은 이러한 개인이 결국 참여할 수있는 회사에 접근하려고 노력하고 있습니다.

Pylangghost라는 맬웨어는 이전에 문서화 된 Golangghost 원격 액세스 Trojan (RAT)의 새로운 변형이며 동일한 기능의 대부분을 공유합니다. Python에 다시 작성하여 Windows 시스템을 더 잘 대상으로합니다.

Mac 사용자는 Golang 버전의 영향을 계속 받고 Linux 시스템은 영향을받지 않는 것으로 보입니다. 유명한 Chollima로 알려진 캠페인의 위협 행위자는 20124 년 중반부터 활동 해 왔으며 DPRK 정렬 그룹으로 여겨집니다.

최신 공격 벡터는 간단합니다. Coinbase, Robinhood 및 Uniswap과 같은 최고 암호화 회사를 가장 세련된 가짜 경력 사이트와 미끼 소프트웨어 엔지니어, 마케팅 담당자 및 디자이너를 스테이션 “기술 테스트”를 완료합니다.

대상이 기본 정보를 채우고 기술적 인 질문에 대한 답변을 얻으면 터미널에 명령을 붙여서 가짜 비디오 드라이버를 설치하라는 메시지가 표시되며, 이는 조용히 파이썬 기반 쥐를 다운로드하고 시작합니다.

페이로드는 이름이 바뀌는 Python Interpreter (nvidia.py), 아카이브를 풀기위한 시각적 기본 스크립트 및 지속성, 시스템 지문, 파일 전송, 원격 쉘 액세스 및 브라우저 데이터 도용을 담당하는 6 개의 핵심 모듈을 포함하는 zip 파일에 숨겨져 있습니다.

쥐는 메타 마스크, 팬텀, 트론 링크 및 1Password를 포함한 80 개가 넘는 확장에서 로그인 자격 증명, 세션 쿠키 및 지갑 데이터를 가져옵니다.

명령 세트를 사용하면 파일 업로드, 다운로드, 시스템 정찰 및 쉘 발사를 포함하여 감염된 기계의 전체 원격 제어가 가능합니다.

RC4 암호화 HTTP 패킷은 인터넷을 통해 RC4라는 오래된 암호화 방법을 사용하여 스크램블 된 데이터입니다. 연결 자체가 안전하지 않더라도 (HTTP) 내부의 데이터는 암호화되지만 RC4는 오늘날의 표준에 의해 구식이고 쉽게 파손되기 때문에 좋지 않습니다.

Pylangghost의 구조와 명명 규칙은 재 작성에도 불구하고 Golangghost의 구조와 명명 규칙은 거의 정확히 정확히 동일한 운영자가 저술했을 가능성이 있다고 Cisco는 말했다.

더 읽기 : 미국 쉘 회사와 함께 암호화 개발자를 대상으로 북한 해커