Các tội phạm mạng Triều Tiên đã gia tăng việc nhắm mục tiêu vào các chuyên gia tiền điện tử với phần mềm độc hại mới tinh vi dựa trên Python có tên là PylangGhost.
Họ triển khai các kế hoạch phỏng vấn việc làm giả mạo tinh vi, giả vờ là các công ty lớn, bao gồm Coinbase, Robinhood và Uniswap, để đánh cắp thông tin đăng nhập từ hơn 80 tiện ích mở rộng trình duyệt và ví tiền điện tử.
Các nhà nghiên cứu Cisco Talos đã phát hiện ra chiến dịch mới nhất này của nhóm đe dọa nổi tiếng "Famous Chollima".
Các cuộc tấn công chủ yếu tập trung vào các chuyên gia tiền điện tử và blockchain tại Ấn Độ. Chúng dụ dỗ nạn nhân thông qua các trang web kiểm tra kỹ năng giả mạo có vẻ hợp pháp nhưng cuối cùng lừa người dùng thực hiện các lệnh độc hại được ngụy trang dưới dạng cài đặt trình điều khiển video cho các bản ghi phỏng vấn giả.
Nguồn: Talos Intelligence
Chiến dịch PylangGhost đại diện cho sự gia tăng mới nhất trong việc nhắm mục tiêu có hệ thống của Triều Tiên đối với ngành công nghiệp tiền điện tử, đã tạo ra hơn 1,3 tỷ đô la quỹ bị đánh cắp qua 47 sự cố riêng biệt chỉ trong năm 2024, theo dữ liệu từ Chainalysis.
Trojan PylangGhost: Từ Phỏng Vấn Giả Mạo đến Thỏa Thuận Toàn Hệ Thống
Chiến dịch PylangGhost được xây dựng dựa trên các chiến thuật kỹ thuật xã hội tinh vi, bắt đầu bằng việc tiếp cận giả mạo nhà tuyển dụng được chế tác cẩn thận nhắm vào các chuyên môn cụ thể trong công nghệ tiền điện tử và blockchain.
Các nạn nhân nhận được lời mời đến các trang web kiểm tra kỹ năng được xây dựng bằng framework React, rất giống với các nền tảng đánh giá công ty hợp pháp.
Các trang web này chứa các câu hỏi kỹ thuật được thiết kế để xác thực nền tảng chuyên môn của mục tiêu và tạo ra một trải nghiệm phỏng vấn chân thực.
Sự thao túng tâm lý đạt đến đỉnh điểm khi các ứng viên hoàn thành các bài đánh giá và được mời ghi hình phỏng vấn video. Trang web yêu cầu truy cập camera thông qua một cú nhấp chuột có vẻ vô hại.
Khi yêu cầu truy cập camera, trang web hiển thị hướng dẫn cụ thể cho từng nền tảng để tải xuống các trình điều khiển video được cho là. Các shell lệnh khác nhau được cung cấp dựa trên dấu vân tay trình duyệt, bao gồm PowerShell hoặc Command Shell cho người dùng Windows và Bash cho hệ thống macOS.
Lệnh độc hại tải xuống một tệp ZIP chứa các mô-đun PylangGhost và một Visual Basic Script giải nén một thư viện Python. Sau đó, nó khởi động Trojan thông qua một trình thông dịch Python được đổi tên, sử dụng "nvidia.py" làm tệp thực thi.
Khả năng của phần mềm độc hại mở rộng xa hơn nhiều so với việc đánh cắp thông tin đăng nhập đơn giản. Nó thiết lập quyền truy cập liên tục thông qua các sửa đổi trong registry để đảm bảo RAT khởi động mỗi khi người dùng đăng nhập vào hệ thống.
PylangGhost tạo ra các GUID hệ thống độc nhất để giao tiếp với các máy chủ chỉ huy và kiểm soát trong khi triển khai các khả năng xuất dữ liệu tinh vi nhắm vào hơn 80 tiện ích mở rộng trình duyệt, bao gồm các ví tiền điện tử quan trọng như Metamask, Phantom, Bitski, TronLink và MultiverseX.
Thiết kế mô-đun của Trojan cho phép tải lên và tải xuống tệp từ xa, truy cập shell hệ điều hành và thu thập dữ liệu trình duyệt toàn diện, bao gồm thông tin đăng nhập đã lưu, cookie phiên và dữ liệu tiện ích mở rộng từ các trình quản lý mật khẩu như 1Password và NordPass.
Một Chiến dịch Toàn cầu Đe dọa An ninh Ngành Tiền điện tử
Phát hiện PylangGhost chỉ là phần nhìn thấy của một chiến dịch mạng lớn, có phối hợp từ Triều Tiên, đã đe dọa cơ bản đến các doanh nghiệp và chuyên gia tiền điện tử trên toàn thế giới.
Các cơ quan tình báo từ Nhật Bản, Hàn Quốc và Hoa Kỳ đã ghi nhận cách các nhóm được Triều Tiên hỗ trợ, chủ yếu là tập thể Lazarus khét tiếng, đã tổ chức các hoạt động tinh vi dẫn đến việc đánh cắp ít nhất 659 triệu đô la thông qua các vụ cướp tiền điện tử chỉ trong năm 2024.
Các gián điệp mạng Triều Tiên được cho là đã thiết lập các công ty giả ở Mỹ để triển khai phần mềm độc hại nhắm vào các nhà phát triển tiền điện tử, vi phạm lệnh trừng phạt của Bộ Tài chính. #TriềuTiên #AnNinhMạng https://t.co/TvCmrspaep
— Cryptonews.com (@cryptonews) Ngày 25 tháng 4 năm 2025
Các hành động thực thi gần đây đã tiết lộ quy mô thực sự của các hoạt động mạng Triều Tiên. FBI đã tịch thu miền của BlockNovas LLC, nơi được sử dụng để thiết lập các thực thể công ty có vẻ hợp pháp và thực hiện các chiến dịch lừa dối dài hạn.
Vụ hack Radiant Capital trị giá 50 triệu đô la gần đây cũng cho thấy hiệu quả của các chiến thuật này khi các nhân viên Triều Tiên thành công trong việc giả mạo các nhà thầu cũ và phát tán các tệp PDF chứa phần mềm độc hại cho các kỹ sư.
Một hacker Triều Tiên đã giả mạo làm ứng viên tìm việc cho một vị trí kỹ sư tại Kraken, người đã cố gắng xâm nhập hàng ngũ của sàn giao dịch. #Kraken #CryptoHacker #NorthKoreanHacker https://t.co/IorY67EV3L
— Cryptonews.com (@cryptonews) Ngày 2 tháng 5 năm 2025
Ngược lại, trong khi các chiến thuật này vẫn hiệu quả, việc Kraken gần đây tiết lộ đã thành công trong việc xác định và ngăn chặn một ứng viên việc làm Triều Tiên cho thấy rằng các sàn giao dịch lớn hiện đang thực hiện các quy trình sàng lọc được cải thiện để phát hiện các nỗ lực xâm nhập.
Tương tự, BitMEX gần đây đã tiến hành một hoạt động phản gián đã phơi bày những điểm yếu hoạt động quan trọng trong Nhóm Lazarus. Điều này bao gồm các địa chỉ IP bị lộ và các cơ sở dữ liệu có thể truy cập đã tiết lộ cấu trúc phân mảnh của nhóm với các khả năng kỹ thuật khác nhau giữa các tế bào khác nhau.
Phản ứng quốc tế đã tăng cường mạnh mẽ, với Hàn Quốc và Liên minh Châu Âu chính thức hóa các thỏa thuận hợp tác an ninh mạng nhắm vào các hoạt động tiền điện tử của Triều Tiên.
Cùng lúc đó, các cơ quan chức năng của Mỹ đã mở rộng các hành động tịch thu để thu hồi hơn 7,7 triệu đô la tài sản tiền điện tử kiếm được thông qua các mạng lưới của những công nhân CNTT bí mật.
Nhật Bản đang chuẩn bị khuyến khích các quốc gia G7 thực hiện phản ứng phối hợp chống lại sự tham gia ngày càng gia tăng của Triều Tiên trong việc đánh cắp tiền điện tử. #NhậtBản #TriềuTiên https://t.co/0WG78wEsx4
— Cryptonews.com (@cryptonews) Ngày 12 tháng 6 năm 2025
Mối đe dọa ngày càng gia tăng đã thúc đẩy các cuộc thảo luận ở cấp cao nhất của ngoại giao quốc tế, với các nhà lãnh đạo G7 dự kiến sẽ giải quyết các cuộc tấn công mạng leo thang của Triều Tiên tại các hội nghị thượng đỉnh sắp tới khi các quốc gia thành viên tìm kiếm các chiến lược phối hợp để bảo vệ cơ sở hạ tầng tài chính toàn cầu.
Bài viết Hacker Triều Tiên Giả Mạo Là Nhà Tuyển Dụng Coinbase Để Đánh Cắp Tiền Điện Tử Với Trojan ‘PylangGhost’ đã xuất hiện đầu tiên trên Cryptonews.
