近年来,加密货币和区块链技术的蓬勃发展吸引了大量专业人才加入其中,成为全球金融和技术创新的重要组成部分。然而,正是这一快速增长的生态系统也成为网络犯罪分子的重点目标。尤其是朝鲜背后的黑客组织,以最新的恶意软件攻击方式,专门针对加密货币行业的从业者进行信息窃取,这对行业安全构成了严重威胁。 据安全研究机构Cisco Talos最新发布的报告显示,名为“Famous Chollima”(又称“Wagemole”)的朝鲜关联黑客组织,利用伪造的招聘网站和面试环节,传播一种基于Python编写的远程访问木马(RAT)——PylangGhost。该恶意软件能够远程控制受感染设备,并窃取用户浏览器中超80款扩展程序中的数据,包括密码管理器和加密钱包。 PylangGhost不仅是此前GolangGhost木马的变种,其功能更加丰富和隐蔽。
这次针对加密行业的攻击主要集中在印度,攻击者以虚假的招聘广告吸引区块链专家和加密货币开发者,通过伪装成知名企业如Coinbase、Robinhood和Uniswap的招聘平台,建立信任和伪装。攻击流程极具欺骗性,初期由假冒的招聘者与受害人取得联系,邀请其参加技术测试,从而诱导他们访问特制的技能测试网站。 在伪装的测试和面试过程中,受害者被要求开启摄像头和麦克风权限,并按照伪装的“视频驱动程序更新”的说明执行恶意指令。执行后,设备即被植入PylangGhost木马,黑客随后可以通过远程命令,截屏、收集系统信息及窃取敏感数据。 此次攻击特别针对与加密货币钱包相关的众多主流插件,例如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink以及MultiverseX。受害者的加密资产和账户安全面临巨大风险。
PylangGhost甚至能够管理文件、维护持续的远程访问权限,其多任务执行能力让防御更加困难。 该恶意程序的代码注释显示,开发者极可能没有采用人工智能语言模型辅助编写,反映出攻击者具备扎实的专业技术和深入理解攻击目标的实力。 此类通过假招聘网站进行的信息窃取攻击并非首次。此前,朝鲜相关黑客已多次利用类似手段实施攻击,如2025年初针对Bybit平台的1.4亿美元黑客事件中,攻击者通过伪造招聘测试软件向加密开发者分发恶意程序,诱骗受害者暴露重要凭证。 面对日益复杂的网络攻击,加密领域的工作人员应强化安全意识,警惕网络招聘骗局和恶意软件的潜在风险。对外发布的招聘信息需核实真实性,切勿轻信未经验证的招聘邮件和面试邀请。
在参加在线面试时,应审慎开启摄像头和麦克风权限,警惕要求执行非标准指令或软件安装的行为。 对于钱包和密码管理工具,建议使用硬件钱包或多重认证方式提高安全性,定期更新访问权限和密码。企业层面应加强员工网络安全培训,完善内部安全检测机制,确保远程访问设备和网络安全防护到位。 加密货币行业的安全形势严峻,面对国家级别黑客组织的持续威胁,保持高度警惕势在必行。唯有提升行业整体安全防御能力,才能保障技术创新与数字资产的健康发展。
