Північнокорейські хакери розсилають троян через криптові вакансії

Розповсюдженням вірусу займаються північнокорейські хакери з угруповання Famous Chollima, які діють під прикриттям вакансій у криптовалютній індустрії.

Шкідливий скрипт написаний на Python орієнтований на операційну систему Windows, тоді як його версія на Golang призначена для користувачів macOS. На даний момент зафіксовано лише кілька випадків зараження, переважно серед мешканців Індії.

З середини 2024 року угруповання Famous Chollima (вона ж Wagemole) активно розповсюджувало модифікації шкідливості Contagious Interview (також відомого як DeceptiveDevelopment), публікувало фальшиві оголошення про працевлаштування та створювало підроблені сторінки для «оцінки навичок». В одному зі сценаріїв кандидатів просили вставити та виконати шкідливу команду (ClickFix) нібито для встановлення драйверів, необхідних для завершення технічного етапу співбесіди.

Основною метою атак стають досвідчені фахівці з блокчейн- та криптосфери, яких приманюють пропозиціями роботи від відомих брендів, таких як Coinbase, Robinhood, Uniswap, Archblock, Parallel Studios та інші. Кожному кандидату надається унікальний код доступу на тестову платформу. Залежно від вакансії користувачу пропонується заповнити форму з персональними даними та відповісти на технічні питання для оцінки кваліфікації. Ці сайти, створені за допомогою React, зовні практично не відрізняються один від одного, незалежно від вакансії.

Після заповнення всіх форм кандидат отримує запрошення записати відеоінтерв'ю. Сайт пропонує дозволити доступ до камери, а потім вставити в термінал команду для встановлення «відеодрайвера». Саме на цьому етапі починається зараження пристрою.

Після встановлення шкідливого програмного забезпечення хакери отримують віддалений доступ до комп'ютера жертви і крадуть кукі-файли, а також логіни та паролі з більш ніж 80 браузерних розширень, включаючи популярні менеджери паролів і криптовалютні гаманці: Metamask, Phantom, NordPass, 1Password, Bitski.