Северокорейская хакерская группировка Famous Chollima использует новый троян PylangGhost для атак на специалистов криптоиндустрии. Об этом сообщили исследователи из Cisco Talos.

---

🎭 Как работает схема

• Злоумышленники создают поддельные сайты, имитирующие известные компании — Coinbase, Robinhood, Uniswap и др.
• Фейковые рекрутеры приглашают кандидатов пройти "тестовое задание" и пройти видеособеседование.
• Перед интервью жертве предлагают ввести команду в консоль якобы для установки видеодрайвера.
• На самом деле происходит установка трояна PylangGhost.

---

🐍 Что умеет PylangGhost

PylangGhost — это троян удалённого доступа (RAT), написанный на Python и ориентированный на Windows. Он аналогичен вирусу GolangGhost, ранее нацеленному на macOS.

Функциональность трояна:

• Кража cookie-файлов и данных из 80+ браузерных расширений.
• Доступ к менеджерам паролей (1Password, NordPass).
• Кража данных криптокошельков (MetaMask, Phantom, Bitski, TronLink).
• Обеспечение постоянного удалённого доступа к системе.

---

🎯 Основная цель — специалисты из Индии

Исследователи отмечают, что атаки преимущественно нацелены на жителей Индии. Это часть более широкой стратегии КНДР по проникновению в криптокомпании и сбору разведданных.

💬 Дилип Кумар, директор Digital South Trust:

«Индии необходимы обязательные аудиты кибербезопасности, контроль поддельных сайтов с вакансиями и усиление правовых норм».

Он призвал государственные органы (CERT-In, MEITY, NCIIPC) усилить глобальное сотрудничество в борьбе с киберпреступностью.

---

🛡️ Предыстория

В апреле группа Contagious Interview, связанная с Lazarus, зарегистрировала три фиктивные компании и рассылала вирусы через фальшивые интервью.

---

✅ Рекомендации

• Никогда не вводите команды по требованию "работодателей".
• Проверяйте домены сайтов.
• Не передавайте личные данные неизвестным лицам.
• Используйте антивирус и средства защиты от фишинга.

---