近年来,随着区块链技术和加密货币的快速发展,相关领域的专业人才需求日益增加。然而,这也成为网络攻击者瞄准的重点对象。朝鲜黑客组织,尤其是以“Famous Chollima”(又称“Wagemole”)为代表的集团,频繁开展针对加密货币和区块链专业人士的攻击活动。近期有报告揭示,朝鲜黑客通过精心设计的招聘骗局,传播一种名为“PylangGhost”的全新Python语言编写的恶意软件,目标直指全球加密货币人才,尤其是在印度等加密市场活跃地区。假招聘骗局作为网络攻击的新型手段,利用求职者的职业心态和信任心理,引诱目标上钩。攻击者通常伪装成知名加密交易平台或区块链项目团队的招聘人员,如Coinbase、Uniswap和Robinhood,虚构真实的招聘岗位。
攻击流程一般从发送虚假面试邀约开始,之后引导求职者访问假冒的技能测试网站,要求提交个人信息与技术能力答题。通过这种方式,黑客不仅能收集到大量的求职者数据,还能筛选出具备目标技能的人员作为潜在攻击对象。测试完毕后,受害者会被要求开启摄像头进行视频面试,增加骗局的真实感。在后续环节中,黑客会诱导求职者运行伪装成视频驱动安装的恶意命令,从而成功植入PylangGhost遥控木马。PylangGhost是一种功能强大的远程访问木马程序,具备窃取用户浏览器中超过80种扩展插件信息的能力,其中包括广受欢迎的加密钱包插件如MetaMask,以及主流密码管理工具1Password、NordPass和Phantom等。这种能力意味着攻击者可以轻松获取受害者的账号凭证、私钥及会话Cookie,大幅度提升后续提权和资产窃取成功率。
此外,PylangGhost还支持持续性远程控制,被感染系统一旦被植入该木马,即可长期被远程操控,执行恶意命令,甚至部署其他形式的恶意软件。值得注意的是,与此前曝出的GolangGhost远程木马相比,PylangGhost专注于Windows操作系统,而Golang版本依然针对macOS用户发起攻击,显示攻击集团对多平台维持高度活动的能力。此次攻击活动不仅仅是一次简单的钓鱼骗局,而是朝鲜网络战策略的延伸。早在2023年之前,朝鲜黑客已开始通过名为“Contagious Interview”和“DeceptiveDevelopment”的招聘诈骗活动,利用GitHub、Upwork以及CryptoJobsList等专业平台精准锁定区块链开发者和技术专家。与此同时,他们通过建立多个伪装成真实企业的招聘网站和下载服务器,如“quickcamfix.online”和“autodriverfix.online”,提高钓鱼攻击的隐蔽性和成功率。2024年,美国联邦调查局(FBI)曾介入调查并关闭了部分由朝鲜支持的恶意网站,比如曾用于分发木马的BlockNovas LLC假冒公司网站。
这一系列事件揭示了朝鲜如何将网络攻击工具转向加密货币领域,既窃取资金,也进行情报收集,甚至渗透加密公司内部环境。朝鲜知名黑客组织“Lazarus Group”近年来因发动多起加密货币大规模盗窃事件而闻名,2024年多个国家联合宣布其幕后黑手共通过多次盗窃行动窃取超过6.59亿美元。除了直接窃取资金,朝鲜黑客更加注重通过招聘骗局侵入行业人才,试图长远控制和渗透关键加密企业。应对此类新型威胁,业界和政府均提出了严肃警示和防范措施。专家建议相关企业和求职者提高对招聘骗局的警觉,切勿轻信陌生招聘渠道或未经验证的面试过程。同时,强化网络安全基础建设,实施常态化的安全审查,提升雇员对社会工程学诈骗的识别能力也十分必要。
印度数字南方信托数字安全总监Dileep Kumar H V表示,印度应强制区块链和加密企业开展安全审计,同时对伪造招聘门户进行持续监控,遏制犯罪链条的延续。印度国家信息安全协调中心(NCIIPC)、计算机紧急响应团队CERT-In及信息技术部MEITY也被呼吁紧密合作,通过联合跨境的网络安全情报共享与法律打击,应对日益复杂的网络诈骗。同时个人防护层面,建议加密专业人士启用多因素身份验证,慎重使用和管理密码管理器,避免在不明网站运行任何命令或程序。确认招聘信息真实性前勿开启摄像头或执行下载操作。总之,随着加密货币行业的不断发展与普及,网络威胁手段也在不断升级。朝鲜利用招聘诈骗植入PylangGhost木马的行为,显示了其高度针对性与持久性攻击趋势。
这不仅威胁着个体专业人士的数字资产安全,也对整个行业的信任生态构成严重挑战。面对这类复杂的网络安全威胁,行业、政府及个人必须形成合力,才能有效抵御恶意攻击,保障加密领域的健康发展和人才安全。
