एक उत्तर कोरियाई हैकिंग समूह एक फर्जी नौकरी आवेदन प्रक्रिया के हिस्से के रूप में प्रच्छन्न पायथन-आधारित मैलवेयर के साथ क्रिप्टो श्रमिकों को लक्षित कर रहा है, सिस्को टैलोस के शोधकर्ता पहिले कहा हुआ इस सप्ताह।

ओपन-सोर्स सिग्नल के अनुसार, अधिकांश पीड़ित भारत में स्थित दिखाई देते हैं, और ब्लॉकचेन और क्रिप्टोक्यूरेंसी स्टार्टअप्स में पूर्व अनुभव वाले व्यक्ति प्रतीत होते हैं।

जबकि सिस्को आंतरिक समझौते का कोई सबूत नहीं बताता है, व्यापक जोखिम स्पष्ट है: ये प्रयास उन कंपनियों तक पहुंच प्राप्त करने की कोशिश कर रहे हैं जो इन व्यक्तियों में अंततः शामिल हो सकते हैं।

पाइलंगघोस्ट नामक मैलवेयर, पहले से प्रलेखित गोलंगघोस्ट रिमोट एक्सेस ट्रोजन (RAT) का एक नया संस्करण है, और अधिकांश समान विशेषताओं को साझा करता है – बस पायथन में बेहतर लक्ष्य विंडोज सिस्टम के लिए फिर से लिखा गया है।

मैक उपयोगकर्ता गोलंग संस्करण से प्रभावित होते रहते हैं, जबकि लिनक्स सिस्टम अप्रभावित दिखाई देते हैं। अभियान के पीछे का खतरा अभिनेता, जिसे प्रसिद्ध चोलिमा के रूप में जाना जाता है, 2024 के मध्य से सक्रिय है और माना जाता है कि यह एक डीपीआरके-संरेखित समूह है।

उनका नवीनतम हमला वेक्टर सरल है: अत्यधिक पॉलिश किए गए नकली कैरियर साइटों के माध्यम से कॉइनबेस, रॉबिनहुड, और यूनिस्वैप जैसी शीर्ष क्रिप्टो फर्मों को लागू करें, और सॉफ्टवेयर इंजीनियरों, विपणक, और डिजाइनरों को “कौशल परीक्षण” पूरा करने में।

एक बार जब कोई लक्ष्य बुनियादी जानकारी में भर जाता है और तकनीकी प्रश्नों का उत्तर देता है, तो उन्हें अपने टर्मिनल में एक कमांड चिपकाकर नकली वीडियो ड्राइवरों को स्थापित करने के लिए प्रेरित किया जाता है, जो चुपचाप पायथन-आधारित चूहे को डाउनलोड और लॉन्च करता है।

पेलोड एक ज़िप फ़ाइल में छिपा हुआ है जिसमें नाम दिया गया पायथन दुभाषिया (nvidia.py) शामिल है, जो संग्रह को अनपैक करने के लिए एक दृश्य बुनियादी स्क्रिप्ट, और दृढ़ता, सिस्टम फिंगरप्रिंटिंग, फ़ाइल ट्रांसफर, रिमोट शेल एक्सेस और ब्राउज़र डेटा चोरी के लिए जिम्मेदार छह कोर मॉड्यूल।

चूहे मेटामास्क, फैंटम, ट्रोनलिंक और 1Password सहित 80 से अधिक एक्सटेंशन से लॉगिन क्रेडेंशियल्स, सेशन कुकीज़ और वॉलेट डेटा खींचता है।

कमांड सेट संक्रमित मशीनों के पूर्ण रिमोट कंट्रोल की अनुमति देता है, जिसमें फ़ाइल अपलोड, डाउनलोड, सिस्टम रीकोन शामिल हैं, और एक शेल लॉन्च करना-सभी RC4- एन्क्रिप्टेड HTTP पैकेट के माध्यम से रूट किए गए हैं।

RC4-encrypted HTTP पैकेट इंटरनेट पर भेजे गए डेटा हैं जो RC4 नामक एक पुरानी एन्क्रिप्शन विधि का उपयोग करके स्क्रैम्बल किए गए हैं। भले ही कनेक्शन स्वयं सुरक्षित नहीं है (HTTP), अंदर का डेटा एन्क्रिप्टेड है, लेकिन बहुत अच्छी तरह से नहीं, क्योंकि RC4 पुराना है और आज के मानकों से आसानी से टूट गया है।

सिस्को ने कहा कि फिर से लिखने के बावजूद, पाइलंगघोस्ट दर्पण की संरचना और नामकरण सम्मेलनों ने गोलांगघोस्ट के लगभग बिल्कुल, दोनों को एक ही ऑपरेटर द्वारा लिखित होने की संभावना रखते हुए, सिस्को ने कहा।

और पढ़ें: उत्तर कोरियाई हैकर्स यूएस शेल फर्मों के साथ क्रिप्टो डेवलपर्स को लक्षित करते हैं