朝鲜黑客瞄准印度加密货币求职者

思科Talos报告称，一个名为"著名千里马"的朝鲜黑客组织近期将攻击目标锁定在印度加密货币求职者身上。该组织显然与拉撒路集团没有直接关联。

目前尚难判断这些攻击行为是小型窃取活动，还是为更大规模攻击做的准备工作。加密货币行业求职者今后需提高警惕。

朝鲜加密货币黑客活动持续蔓延

朝鲜的拉撒路集团因实施加密货币行业史上最大规模的黑客攻击而臭名昭著。但这并非该国唯一的Web3犯罪集团，朝鲜在DeFi领域同样存在感强烈。

思科Talos发现近期印度出现采用新型作案手法的加密货币犯罪活动：

报告显示"著名千里马"并非新生组织，自2024年中期或更早便开始运作。在最近多起事件中，朝鲜黑客曾通过应聘公开职位试图渗透Kraken等美国加密货币公司。

而"著名千里马"则反其道而行，用虚假招聘信息诱骗潜在工作者。

该公司称："这些攻击活动包括...创建虚假招聘广告和技能测试页面。后者会要求用户复制粘贴恶意命令行，声称需安装驱动程序来完成最终技能测试阶段。[受影响用户]主要集中在印度。"

相比拉撒路集团的"盛名"，"著名千里马"的网络钓鱼手段显得拙劣许多。思科指出该组织总是拙劣模仿知名加密企业的招聘申请。

这些诱饵并未使用真实企业的品牌标识，提出的问题也与所伪装职位毫不相干。

吞食诱饵的受害者

受害者通过伪装成知名科技或加密企业的虚假招聘网站被诱骗。填写申请后，他们会收到视频面试邀请。

在此过程中，网站要求运行命令行指令——声称用于安装视频驱动——实则下载安装恶意软件。

一旦安装成功，PylangGhost木马将使攻击者完全控制受害者系统。该木马窃取登录凭证、浏览器数据及加密钱包信息，针对MetaMask、Phantom和1Password等80余种流行扩展程序。

近期BitMEX在挫败恶意软件攻击后声称，拉撒路集团至少使用两支团队：低技术团队负责初始安全协议突破，高技术团队实施后续窃取。这可能是朝鲜黑客圈的常见操作模式。

遗憾的是，在不做推测的情况下很难得出确切结论。朝鲜是否想通过黑入这些求职者来更好地伪装成加密行业应聘者？

用户应当警惕主动提供的职位邀约，避免运行未知命令，并通过终端防护、多因素认证和浏览器扩展监控来保护系统安全。

在分享任何敏感信息前，务必核实招聘平台的真实性。