Расследование: северокорейские хакеры предлагают «работу» индийским криптоспециалистам, чтобы заразить вредоносным ПО их компьютеры
Троянскую программу PylangGhost, позволяющую дистанционно управлять компьютером, обнаружила компания по кибербезопасности Cisco Talos в мае 2025 года.
- По словам компании, PylangGhost пользуется только Famous Chollima (или Wagemole) — северокорейская хакерская группировка, которая использовала до этого схожие приёмы.
- В «вакансиях разработчиков, маркетологов и дизайнеров» хакеры упоминают названия существующих компаний — например, Coinbase, Archblock, Robinhood, Parallel Studios или Uniswap. Переходя по ссылкам в объявлениях, соискатели попадают на сайт, где заполняют анкету с информацией о себе и проходят тест, «определяющий» их навыки.
- Далее кандидатам необходимо записать небольшое видео, но перед этим установить «драйверы» и запустить в командной строке специальный код, якобы включающий доступ к камере и микрофону. Так PylangGhost «попадает» в компьютер.
- Cхема работает с пользователями Windows и MacOS, а для Linux инструкция по установке «драйверов» отсутствует. Пока Cisco Talos обнаружила небольшое количество заражённых устройств, в основном в Индии.
- Известен случай, когда человек с компьютером, заражённым вредоносной северокорейской программой, устроился на работу в реальную криптокомпанию. Через его устройство «заразили» и другие компьютеры фирмы.
- КНДР пытается собрать данные о том, какими навыками обладают специалисты, чтобы упростить трудоустройство своих работников в зарубежные компании, пишет The Report. Они обычно связаны с госразведкой, отмечала Google. Выдавая себя за иностранных профессионалов, северокорейские хакеры и разработчики сливают властям данные компаний, в том числе с расчётом на шантаж.
7 комментариев