Hacker Nordcoreani Ingannano Candidati Crypto Indiani

L'attività di hacking legata alle criptovalute ha raggiunto un nuovo e preoccupante livello.

Secondo un rapporto di Cisco Talos, il gruppo di cybercriminali nordcoreano noto come “Famous Chollima” sembra aver intensificato le proprie operazioni. A quanto pare, Famous Chollima si sta ora concentrando sui candidati a posizioni lavorative nel settore crypto in India, utilizzando un metodo di attacco del tutto nuovo.

Invece di compiere attacchi evidenti e su larga scala contro aziende crypto, come fa il Lazarus Group, Famous Chollima ha ideato una strategia ingegnosa per ottenere accesso alle imprese del settore.

“Famous Chollima, un attore di minacce allineato alla Corea del Nord, sta prendendo di mira professionisti della blockchain e delle criptovalute (principalmente in India) con il nuovo PylangGhost RAT, una versione in Python del loro precedente GolangGhost RAT,” ha dichiarato Cisco Talos.

Secondo Cisco Talos, “Famous Chollima” è stato segnalato per la prima volta a metà del 2024 o anche prima.

Mentre il Lazarus Group è noto per prendere di mira direttamente — e in alcuni casi estorcere — aziende crypto con sede negli Stati Uniti, come Kraken, Famous Chollima adotta un approccio diverso: penetrare le reti aziendali tramite moduli di candidatura.

A differenza delle azioni nordcoreane contro Kraken e altre imprese, gli attacchi di Famous Chollima non si avvalgono dei candidati stessi per accedere ai sistemi aziendali.

Invece, attirano le vittime tramite siti di reclutamento falsi che imitano aziende crypto famose. Tuttavia, le domande di assunzione sono prive di marchio e includono una domanda apparentemente insensata: “Cosa rende difficile questo server di applicazione tecnologica?”

Oltre a essere mal realizzati, questi attacchi contrastano con la reputazione del Lazarus Group, noto per la sua efficacia. Cisco Talos sottolinea che Famous Chollima è relativamente amatoriale.

I criminali attirano le vittime attraverso siti di assunzione fittizi che si spacciano per aziende tecnologiche o crypto. Dopo aver inviato la candidatura, l’ignara vittima viene invitata a un colloquio online. Durante il presunto colloquio, il sito falso chiede all’intervistato di digitare comandi tramite l’interfaccia a riga di comando (CLI). Dicono che i comandi servano per installare driver video, ma in realtà scaricano ed eseguono software dannoso.

Una volta installato, il malware PylangGhost consente a Famous Chollima di ottenere pieno accesso al computer della vittima. È in grado di rubare informazioni di accesso, cronologia del browser e dati dei wallet crypto.

Inoltre, il malware prende di mira oltre 80 estensioni popolari, tra cui MetaMask, Phantom e 1Password.

Il vero obiettivo dell’attacco non è ancora chiaro. Non si sa se queste azioni siano solo crimini isolati o un primo passo verso un attacco coordinato su larga scala. È possibile che Famous Chollima stia infettando i computer di questi candidati per poi impersonarli e infiltrarsi in modo più efficace nel mondo del lavoro crypto.

Dopo il caso BitMEX, in cui è emerso che il Lazarus Group utilizza almeno due team distinti — uno di basso livello per infiltrarsi e uno altamente specializzato per sottrarre dati — viene naturale chiedersi se anche Famous Chollima rappresenti un'evoluzione gerarchica della comunità di hacker nordcoreana.

I candidati a posizioni nel mondo crypto, soprattutto in India, dovrebbero prestare estrema attenzione. Diffidate delle opportunità di lavoro non richieste. Non eseguite mai comandi sul vostro sistema se non conoscete la fonte.

È inoltre essenziale proteggere i dispositivi finali, utilizzare l’autenticazione a più fattori (MFA) e monitorare attentamente le estensioni del browser.

Infine, è importante verificare l’autenticità dei portali di reclutamento prima di fornire qualsiasi informazione personale o professionale.