Северокорейская хакерская группа Famous Chollima, также известная как Wagemole, начала широкомасштабную атаку на криптопрофессионалов, используя новые методы социальной инженерии через поддельные собеседования на работу и сайты с вакансиями. Для атак используется вредоносное ПО на языке Python под названием PylangGhost, которое устанавливается под предлогом обновления видеодрайверов и предоставляет злоумышленникам постоянный доступ к заражённым устройствам.
PylangGhost способен похищать данные из более чем 80 популярных браузерных расширений, включая менеджеры паролей и криптокошельки^— Metamask, 1Password, NordPass, Phantom и другие. Основной фокус атаки направлен на ИТ-специалистов из области криптовалют и блокчейн-технологий, преимущественно из Индии, которых злоумышленники заманивают через поддельные порталы известных компаний, таких как Coinbase, Robinhood и Uniswap.
В ходе атаки жертв просят пройти технические тесты, открыть доступ к камере для видеособеседования и выполнить вредоносные команды на компьютере. Ранее подобные методы с использованием другого вредоноса GolangGhost применялись против пользователей macOS, сейчас PylangGhost ориентирован на Windows.
Эксперты призывают к усилению кибербезопасности и законодательного контроля в Индии и других странах для предотвращения дальнейших атак. В 2024 году группа Lazarus, также связанная с Северной Кореей, была замечена в крупных кражах криптовалют и подобных схемах социальной инженерии.