I candidati indiani alla ricerca di lavoro nel settore delle criptovalute si trovano ad affrontare una nuova minaccia malware da parte di hacker nordcoreani

Secondo quanto riportato da The Guardian, gli hacker nordcoreani legati allo stato stanno prendendo di mira i professionisti delle criptovalute in India con una nuova e mirata campagna malware. azienda di sicurezza informatica Cisco TalosGli aggressori, identificati come un gruppo noto come Il famoso Chollima, stanno utilizzando falsi colloqui di lavoro e siti web fraudolenti di verifica delle competenze per infettare i dispositivi degli utenti con un nuovo Trojan di accesso remoto (RAT) basato su Python denominato Fantasma di Pylang.

Questa operazione, attiva da metà del 2024, segna l'ultimo capitolo dell'intensificarsi dello spionaggio crypto della Corea del Nord. I ricercatori di Cisco Talos hanno rivelato che gli aggressori si spacciano per reclutatori per importanti aziende crypto come Coinbase. Uniswap, Robinhood e Archblock. I loro obiettivi principali: ingegneri del software, professionisti del marketing e altri specialisti in blockchain e asset digitali.

Inganni di lavoro e colloqui falsi

La campagna inizia con l'ingegneria sociale. Le vittime vengono contattate da presunti reclutatori e invitate a visitare repliche convincenti di pagine di offerte di lavoro aziendali legittime. Questi siti presentano test di valutazione delle competenze e richiedono informazioni sensibili come nomi completi, curriculum, indirizzi di portafoglio e credenziali.

Ai candidati viene quindi chiesto di abilitare l'accesso alla telecamera e al microfono per un colloquio video. Durante questa fase, i falsi reclutatori chiedono alle vittime di eseguire determinati comandi, mascherati da installazioni di driver video, che attivano l'installazione del Fantasma di Pylang malware.

Cisco Talos ha confermato che il RAT offre agli hacker il pieno controllo remoto dei sistemi infetti ed è in grado di rubare credenziali e cookie da oltre 80 estensioni del browser. Tra queste, gestori di password e wallet di criptovalute ampiamente utilizzati come MetaMask, 1Password, NordPass, Phantom, TronLink e MultiverseX.

Malware avanzato con accesso persistente

PylangGhost è un'evoluzione basata su Python di una minaccia precedentemente nota chiamata GolangGhostI nuovi obiettivi della variante Sistemi Windows esclusivamente, ed è progettato per esfiltrare dati e mantenere un accesso persistente alle macchine compromesse. I sistemi Linux, secondo Cisco Talos, sembrano essere rimasti indenni da questa ondata di attacchi.

Il malware può eseguire un'ampia gamma di comandi: acquisire screenshot, raccogliere dettagli di sistema, gestire file e stabilire un controllo remoto continuo. Opera tramite più server di comando e controllo registrati sotto domini che appaiono credibili, come quickcamfix.online or autodriverfix.online.

A differenza delle truffe precedenti, questa campagna non si concentra sul phishing di massa o sul furto diretto dagli exchange. Si tratta piuttosto di un attacco chirurgico mirato ai professionisti del settore crypto, ovvero coloro che hanno accesso a infrastrutture chiave, strumenti interni e dati sensibili.

India: un obiettivo di alto valore

L'India, uno dei centri in più rapida crescita per lo sviluppo della blockchain, è diventata un obiettivo primario. Molti professionisti che lavorano su piattaforme crypto globali hanno sede nel Paese, e questa nuova strategia gioca un ruolo fondamentale in questa concentrazione di talenti.

Secondo Dileep Kumar HV, direttore del Digital South Trust, l'India ha bisogno di riforme urgenti per affrontare questo tipo di minaccia. Ha chiesto audit obbligatori sulla sicurezza informatica per le aziende blockchain, un monitoraggio più approfondito dei falsi portali di lavoro e riforme legali nell'ambito dell'IT Act indiano.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Ha inoltre esortato le agenzie governative come CERT-In, MEITYe NCIIPC per intensificare la collaborazione e lanciare campagne di sensibilizzazione pubblica, nonché condividere informazioni con altre giurisdizioni.

Un modello crescente di spionaggio digitale

Le false offerte di lavoro sono diventate uno strumento costante nei manuali informatici nordcoreani. Gruppo Lazzaro, un altro collettivo di hacker legato alla Corea del Nord, ha utilizzato una tattica simile all'inizio del 2024. Loro creato false aziende con sede negli Stati Uniti come BlockNovas LLC and SoftGlide LLC per indurre gli sviluppatori di criptovalute a partecipare a interviste piene di malware.

In un caso, gli hacker di Lazarus si sono spacciati per ex appaltatori per violare Radiant Capital, causando una perdita di 50 milioni di dollari. Una dichiarazione congiunta di Giappone, Corea del Sud e Stati Uniti ha recentemente confermato che Gruppi legati alla Corea del Nord hanno rubato 659 milioni di dollari in criptovalute solo in 2024.

Queste campagne non mirano solo al furto. Sono sempre più mirate a raccogliere informazioni e a infiltrarsi dall'interno nelle aziende crypto. L'obiettivo finale sembra essere sia il guadagno finanziario che il controllo strategico sui sistemi e sui dati blockchain.

Contromisure e la strada da percorrere

Il rapporto Cisco Talos è un campanello d'allarme per i professionisti del settore delle criptovalute. L'azienda consiglia di prestare maggiore attenzione durante la ricerca di lavoro, soprattutto quando si interagisce con nuove piattaforme, recruiter sconosciuti o URL sconosciuti.

Si consiglia ai professionisti di:

• Evitare di installare software o eseguire comandi durante i colloqui di lavoro.
• Verificare la legittimità delle aziende e dei reclutatori.
• Utilizzare strumenti di protezione degli endpoint e anti-malware.
• Aggiorna regolarmente le password e abilita l'autenticazione a due fattori.

Le aziende dovrebbero inoltre rafforzare i controlli interni e garantire che il personale sia formato per individuare e segnalare i tentativi di ingegneria sociale.