北朝鮮に関連するハッカー集団が、仮想通貨業界で仕事を探す求職者を標的とした新たなマルウェア攻撃を展開している。仮想通貨ウォレットやパスワード管理アプリに保存された認証情報が狙いのようだ。
サイバーセキュリティ企業シスコ・タロスは19日、新たに発見されたPythonベースのリモートアクセス型トロイの木馬(RAT)「PylangGhost」に関するレポートを公開した。このマルウェアは、北朝鮮の支援を受けるとされるハッカーグループ「フェイマス・チョリマ(別名ウェイジモール)」によって使用されているという。
この攻撃は、主にインドの仮想通貨およびブロックチェーン分野に関わる求職者や従業員を標的にしており、ソーシャルエンジニアリングによる偽の採用活動を通じて仕掛けられている。
「掲載されている職種内容から見て、フェイマス・チョリマは仮想通貨およびブロックチェーン技術に関する経験を持つ個人を広く狙っているのは明らかだ」と報告書は指摘する。
偽の採用サイトとスキルテストがマルウェアの足がかりに
攻撃者は、コインベース、ロビンフッド、ユニスワップなどの有名企業になりすました偽の採用サイトを作成し、複数ステップの選考プロセスを演出する。
まず、偽のリクルーターが求職者に連絡を取り、スキルチェック用の特設サイトに誘導。その過程で個人情報が収集される。
次に、被害者はビデオ面接を装った偽面談に参加させられ、ビデオやカメラ機能のアクセスを許可させられたうえで、「ビデオドライバのアップデート」などと偽って不正なコマンドのコピー・実行を誘導される。これによりマルウェアが端末に感染する。
狙いは仮想通貨ウォレットとパスワード情報
このマルウェアは、以前確認された「GolangGhost」の派生型であり、同様の機能を有するという。
マルウェアが実行されると、感染したシステムに対する遠隔操作が可能になり、80種類以上のブラウザ拡張機能からクッキーやログイン情報が盗まれる。標的には、MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink、MultiverseXなどのパスワード管理アプリや仮想通貨ウォレットが含まれる。
長期の遠隔操作も可能
PylangGhostは、スクリーンショットの撮影、ファイル操作、ブラウザデータの窃取、システム情報の収集、持続的なリモートアクセスなど、複数の不正タスクを実行できる多機能型マルウェアだ。
シスコ・タロスの研究者は、マルウェアのコード内に書かれたコメントなどの分析結果から、コードの作成に大規模言語モデル(LLM)などのAIは使用されていない可能性が高いと指摘している。
偽求人を利用した攻撃は過去にも
なお、北朝鮮関連のハッカーによる「偽の採用活動」を使った攻撃は、これが初めてではない。
2025年4月には、バイビットから14億ドルが盗まれた事件に関連するとされるハッカーグループが、仮想通貨開発者を標的にマルウェア付きの偽テストを通じて攻撃を仕掛けていたことが報告されている。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
