北朝鮮のハッカー集団は偽の求人応募書類にマルウェアを仕込む──被害者が将来入社する暗号資産企業が標的

- 北朝鮮のハッカー集団が、求人応募書類を装ったPythonベースのマルウェアを使って暗号資産関連の労働者を標的にしている。
- このマルウェア「PylangGhost」はGolangGhostの亜種であり、個人を踏み台に企業に侵入することを目的としている。
- 攻撃者は大手暗号資産関連企業を装い、偽のスキルテストを通じて被害者の環境にマルウェアをインストールする。
北朝鮮のハッカー集団が、求人応募手続きの書類を装ったPythonベースのマルウェアを使って暗号資産(仮想通貨)関連の労働者を標的にしているとセキュリティ企業シスコ・タロス(Cisco Talos)の研究者が今週初めに発表した。
オープンソースの情報によると、被害者のほとんどはインド在住で、ブロックチェーンや暗号資産のスタートアップ企業での経験を持つ人物のようだ。
シスコは内部の侵害の証拠は報告していないが、これらの攻撃が、被害者が将来加入する可能性のある企業へのアクセスを目的としているのは明確だ。
「PylangGhost」と呼ばれるこのマルウェアは、以前に報告されているリモートアクセス型トロイの木馬のGolangGhostの新たな亜種であり、ほとんどの機能は共有しているが、Windowsシステムを標的としやすいようにPythonで書き換えられている。
Macユーザーは引き続きGolang版の影響を受けていますが、Linuxシステムは影響を受けていないようだ。この攻撃の背後にいる実行者はFamous Chollimaとして知られる、2024年半ばから活動する、北朝鮮と連携したグループだと考えられている。
彼らの最新の攻撃は極めてシンプルだ。コインベース(Coinbase)、ロビンフッド(Robinhood)、ユニスワップ(Uniswap)といった大手暗号資産関連企業を装って洗練された雰囲気の偽の求人サイトを作成し、ソフトウェアエンジニア、マーケッター、デザイナーを誘い込んで「スキルテスト」を課すのだ。
標的が基本情報を入力し、技術的な質問に答えると、ターミナルにコマンドを入力することで偽のビデオドライバーをインストールするよう促される。実はこのコマンドは、Pythonベースのトロイの木馬をダウンロードして起動するものだ。

ペイロードは、ZIPファイルに隠されており、リネームされたPythonインタープリタ(nvidia.py)、アーカイブを解凍するVisual Basicスクリプト、および永続化・システムフィンガープリント・ファイル転送・リモートシェルアクセス・ブラウザデータ窃取を担う6つのコアモジュールが含まれる。
このRATは、メタマスク(MetaMask)、ファントム(Phantom)、トロンリンク(TronLink)、1Password などといった80以上の拡張機能からログイン認証情報、セッションクッキー(Cookie)、ウォレットデータを盗む。
さらにコマンドセットにより、感染したマシンを完全にリモート制御することができ、ファイルのアップロード、ダウンロード、システム再認識、シェル起動を行える。こうしたすべての通信はRC4で暗号化されたHTTPパケットを通じて行われる。
RC4暗号化HTTPパケットは、RC4と呼ばれる古い暗号化方式を使用して暗号化されてインターネット経由で送信されるデータだ。接続自体は安全ではないHTTPだが、内部のデータは暗号化されている。ただし、RC4は時代遅れで、現在の技術水準では容易に破られる。
シスコによると、PylangGhostは書き直されたものであるにもかかわらず、その構造や命名規則がGolangGhostとほぼ完全に一致しており、両者は同じ者によって作成された可能性が高いと見られるという。
|翻訳:CoinDesk JAPAN
|編集:井上俊彦
|画像:Shutterstock
|原文:North Korean Hackers Are Targeting Top Crypto Firms With Malware Hidden in Job Applications