David Edwards
'n Kuber-spioenasiegroep wat met Noord-Korea verband hou, het 'n nuwe golf van geteikende aanvalle op kriptogeldeenheid-professionele persone van stapel gestuur, deur wanware te ontplooi wat ontwerp is om sensitiewe geloofsbriewe van digitale beursies en wagwoordbestuurders te oes. Die veldtog word toegeskryf aan "Famous Chollima", ook bekend as "Wagemole", 'n bedreigingsakteur wat voorheen met Noord-Korea verbind is, volgens 'n verslag van Cisco Talos wat Woensdag vrygestel is.
Die aanval maak gebruik van 'n Python-gebaseerde afstandtoegang-trojaan (RAT) genaamd PylangGhost, wat navorsers geïdentifiseer het as 'n variant van die vorige GolangGhost RAT. Die wanware gee aanvallers volle afstandbeheer oor besmette stelsels, wat hulle in staat stel om koekies, blaaierbewyse en sensitiewe data van meer as 80 blaaieruitbreidings te steel. Teikens sluit in kripto-beursie-toepassings soos MetaMask, Phantom, TronLink en MultiverseX, sowel as wagwoordbestuurders soos 1Password en NordPass.
Die veldtog fokus blyk hoofsaaklik op professionele persone in Indië met ervaring in blokketting en kriptogeldeenheid. Slagoffers word gewerf deur middel van vals werksaankondigings op nagemaakte webwerwe wat maatskappye soos Coinbase, Robinhood en Uniswap naboots. Sodra die aanvanklike kontak gemaak is, doen die aanvallers hulle voor as werwers en verwys slagoffers na vals vaardigheidstoetsplatforms.
Tydens georganiseerde onderhoude word slagoffers mislei om kameratoegang te aktiveer en terminaalopdragte uit te voer onder die dekmantel van die opdatering van videodrywers – stappe wat onwetend die kwaadwillige vrag installeer. Die wanware se vermoëns strek verder as datadiefstal, insluitend lêerbestuur, skermkiekie-opname, stelselverkenning en volgehoue afstandtoegang.
Cisco Talos-navorsers het opgemerk dat, ten spyte van die kompleksiteit van die wanware, daar geen bewyse is dat groot taalmodelle of KI-gereedskap betrokke was by die skryf van die kode nie.
Hierdie vorm van sosiale manipulasie – die uitbuiting van professionele aspirasies binne die kripto-industrie – het 'n kenmerk geword van Noord-Korea-gekoppelde kuberbedrywighede. In April is dieselfde taktiek gebruik om ontwikkelaars wat met die $1.4 miljard Bybit-kraak verbind is, te teiken deur middel van werwingstoetse wat met wanware besmet is.
