Chiêu lừa tuyển dụng mới: Hacker Triều Tiên giả làm HR của Coinbase để tấn công dân crypto

Một chiến dịch tấn công tinh vi do #hacker Triều Tiên thực hiện đang nhắm vào các chuyên gia crypto toàn cầu thông qua hình thức giả danh nhà tuyển dụng từ các công ty lớn như Coinbase, Uniswap nhằm phát tán mã độc “PylangGhost” – một trojan viết bằng Python.

Theo báo cáo của Cisco Talos, PylangGhost được nhóm “Famous Chollima” (liên kết với chính quyền Bình Nhưỡng) sử dụng để đánh cắp thông tin đăng nhập từ hơn 80 tiện ích trình duyệt, bao gồm ví Metamask, 1Password, Phantom, NordPass… Đồng thời, mã độc này cũng giữ kết nối liên tục để điều khiển máy nạn nhân từ xa.

Chiêu trò phổ biến của hacker là dẫn nạn nhân – chủ yếu là lập trình viên và kỹ sư blockchain – vào một quy trình tuyển dụng giả, từ việc làm bài test, truy cập camera, cho đến chạy “trình cài đặt video” giả chứa mã độc. Các trang web mạo danh có tên tương đối đáng tin nên đã qua mặt được các nạn nhân.

Hoạt động này là phần tiếp theo của chuỗi chiến dịch như “Contagious Interview” và “DeceptiveDevelopment” – từng đánh lừa nhiều lập trình viên từ 2023. Gần đây, hacker còn tạo công ty giả tại Mỹ (BlockNovas, SoftGlide) và bị #FBI triệt phá.

Chuyên gia an ninh mạng kêu gọi tăng cường kiểm tra an ninh tại các công ty blockchain, ban hành cảnh báo quốc gia và nâng cao nhận thức để ngăn chặn làn sóng tấn công mới này.