David Edwards
Um grupo de espionagem cibernética alinhado à Coreia do Norte lançou uma nova onda de ataques direcionados a profissionais de criptomoedas, implantando malware projetado para coletar credenciais confidenciais de carteiras digitais e gerenciadores de senhas. A campanha foi atribuída a "Famous Chollima", também conhecido como "Wagemole", um agente de ameaças anteriormente ligado à Coreia do Norte, de acordo com um relatório da Cisco Talos divulgado na quarta-feira.
O ataque utiliza um trojan de acesso remoto (RAT) baseado em Python chamado PylangGhost, que pesquisadores identificaram como uma variante do antigo RAT GolangGhost. O malware concede aos invasores controle remoto total sobre os sistemas infectados, permitindo-lhes roubar cookies, credenciais do navegador e dados confidenciais de mais de 80 extensões. Os alvos incluem aplicativos de carteira de criptomoedas como MetaMask, Phantom, TronLink e MultiverseX, bem como gerenciadores de senhas como 1Password e NordPass.
A campanha parece ter como foco principal profissionais indianos com experiência em blockchain e criptomoedas. As vítimas são recrutadas por meio de anúncios de emprego falsos em sites falsos que se passam por empresas como Coinbase, Robinhood e Uniswap. Após o contato inicial, os invasores se passam por recrutadores e direcionam as vítimas para plataformas falsas de teste de habilidades.
Durante entrevistas simuladas, as vítimas são induzidas a habilitar o acesso à câmera e executar comandos de terminal sob o pretexto de atualizar drivers de vídeo — etapas que, sem o conhecimento do usuário, instalam o payload malicioso. Os recursos do malware vão além do roubo de dados, incluindo gerenciamento de arquivos, captura de tela, reconhecimento de sistema e acesso remoto persistente.
Os pesquisadores do Cisco Talos observaram que, apesar da complexidade do malware, não há evidências de que grandes modelos de linguagem ou ferramentas de IA estivessem envolvidos na escrita de seu código.
Essa forma de engenharia social — que explora aspirações profissionais na indústria de criptomoedas — tornou-se uma marca registrada das operações cibernéticas ligadas à Coreia do Norte. Em abril, a mesma tática foi usada para atingir desenvolvedores ligados ao ataque hacker de US$ 1.4 bilhão à Bybit por meio de testes de recrutamento infectados por malware.
