Tin tặc Triều Tiên đang triển khai trojan PylangGhost để nhắm vào chuyên gia crypto, đánh cắp ví và mật khẩu qua các trang tuyển dụng giả mạo.

Tin tặc Triều Tiên đang triển khai trojan PylangGhost để nhắm vào chuyên gia crypto, đánh cắp ví và mật khẩu qua các trang tuyển dụng giả mạo.Một chiến dịch tấn công mạng tinh vi mới, được cho là do nhóm tin tặc <a href="https://phocapblockchain.net/my-truy-thu-77-trieu-usd-crypto-trieu-tien/" rel="nofollow">Triều Tiên</a> thực hiện, đang nhắm mục tiêu vào các chuyên gia trong lĩnh vực tiền mã hóa và blockchain. Công cụ chính của chiến dịch này là trojan truy cập từ xa mang tên “PylangGhost”, được thiết kế đặc biệt để đánh cắp thông tin nhạy cảm từ các ví crypto và trình quản lý mật khẩu.Theo báo cáo từ <a href="https://blog.talosintelligence.com/python-version-of-golangghost-rat/" rel="nofollow">Cisco Talos</a> vừa công bố hôm thứ Tư, nhóm tin tặc đứng sau vụ việc được xác định là “Famous Chollima”, còn được biết đến dưới tên gọi “Wagemole”. Trojan PylangGhost là một phiên bản nâng cấp của RAT GolangGhost từng được phát hiện trước đây, xây dựng bằng ngôn ngữ lập trình Python với khả năng xâm nhập hệ thống và đánh cắp dữ liệu hiệu quả hơn.<div><figure><img src="https://static.fwimg.io/img/feed/b994469f73e6a878bc41fefcbc1ea38b.jpg" alt=""><figcaption>Trang web tuyển dụng giả do hacker Triều Tiên tạo nên. Nguồn: Cisco Talos</figcaption></figure></div>Chiến dịch tấn công chủ yếu nhắm vào các chuyên gia crypto tại Ấn Độ – một quốc gia đang chứng kiến sự tăng trưởng mạnh mẽ trong lĩnh vực blockchain. Đáng chú ý, phương thức chính của Famous Chollima là sử dụng kỹ thuật xã hội (social engineering) với kịch bản tuyển dụng giả mạo. Nhóm này tạo ra các trang web giả danh các công ty công nghệ tài chính lớn như Coinbase, Robinhood và Uniswap, từ đó tiếp cận các ứng viên đang tìm việc.Khi nạn nhân được “nhà tuyển dụng” giả mạo liên hệ, họ được mời tham gia các bài kiểm tra kỹ năng trực tuyến trên các trang web tuyển dụng giả này. Trong quá trình phỏng vấn, nạn nhân bị thuyết phục cấp quyền truy cập vào camera và video của thiết bị, đồng thời được hướng dẫn sao chép và thực thi một đoạn mã độc hại – ngụy trang như một bước cần thiết để cài đặt trình điều khiển video mới.Ngay khi nạn nhân kích hoạt mã độc, PylangGhost sẽ được cài đặt vào thiết bị, trao cho tin tặc quyền kiểm soát hoàn toàn hệ thống. Payload của mã độc được thiết kế để trích xuất cookie và thông tin đăng nhập từ hơn 80 tiện ích mở rộng trên các trình duyệt web, đặc biệt là các ví tiền mã hóa phổ biến như MetaMask, Phantom, và các trình quản lý mật khẩu như 1Password.Việc sử dụng chiêu thức tuyển dụng giả để tấn công không phải là mới, nhưng luôn chứng tỏ hiệu quả cao khi khai thác yếu tố con người để vượt qua các biện pháp phòng vệ kỹ thuật. Trước đó, hồi tháng 4, một nhóm tin tặc khác liên quan đến vụ đánh cắp 1,4 tỷ USD từ sàn Bybit cũng bị phát hiện sử dụng phương thức tương tự để lừa các lập trình viên crypto thực hiện các bài kiểm tra tuyển dụng giả có cài mã độc.Sự xuất hiện của PylangGhost và chiến dịch mới nhất này cho thấy tin tặc Triều Tiên đang liên tục phát triển và hoàn thiện các công cụ tấn công nhằm vào các mục tiêu có giá trị cao trong lĩnh vực tài chính số.

Tin tặc Triều Tiên tấn công chuyên gia crypto bằng chiêu thức tuyển dụng giả

North Korean hackers are deploying the PylangGhost trojan to target crypto experts, stealing wallets and passwords through fake recruitment websites.

North Korean Hackers Deploying PylangGhost Trojan to Target Crypto Experts, Stealing Wallets and Passwords via Fake Recruitment SitesA sophisticated new cyber attack campaign, allegedly carried out by the <a href="https://phocapblockchain.net/my-truy-thu-77-trieu-usd-crypto-trieu-tien/" rel="nofollow">North Korean</a> hacker group, is targeting experts in the cryptocurrency and blockchain field. The main tool of this campaign is a remote access trojan called "PylangGhost", specifically designed to steal sensitive information from crypto wallets and password managers.According to a report from <a href="https://blog.talosintelligence.com/python-version-of-golangghost-rat/" rel="nofollow">Cisco Talos</a> published on Wednesday, the hacker group behind the incident is identified as "Famous Chollima", also known as "Wagemole". PylangGhost is an upgraded version of the previously discovered GolangGhost RAT, built using the Python programming language with enhanced system infiltration and data theft capabilities.<div><figure><img src="https://static.fwimg.io/img/feed/b994469f73e6a878bc41fefcbc1ea38b.jpg" alt=""><figcaption>Fake recruitment website created by North Korean hackers. Source: Cisco Talos</figcaption></figure></div>The attack campaign primarily targets crypto experts in India – a country experiencing strong growth in the blockchain field. Notably, Famous Chollima's main method is using social engineering with fake recruitment scenarios. The group creates websites impersonating major fintech companies like Coinbase, Robinhood, and Uniswap to approach job seekers.When victims are contacted by fake "recruiters", they are invited to participate in online skill tests on these fake recruitment websites. During the interview, victims are persuaded to grant access to their device's camera and video, and are instructed to copy and execute a malicious code – disguised as a necessary step to install a new video driver.Once the victim activates the malicious code, PylangGhost is installed on the device, giving hackers complete system control. The malware's payload is designed to extract cookies and login information from over 80 web browser extensions, particularly popular crypto wallets like MetaMask, Phantom, and password managers like 1Password.Using fake recruitment tactics to attack is not new, but always proves highly effective in exploiting human factors to bypass technical defenses. Previously, in April, another hacker group involved in the $1.4 billion theft from Bybit was discovered using a similar method to trick crypto developers into performing fake recruitment tests with embedded malicious code.The emergence of PylangGhost and this latest campaign demonstrates that North Korean hackers are continuously developing and refining attack tools targeting high-value targets in the digital finance sector.

North Korean Hackers Target Crypto Experts With Fake Recruitment Tricks

On the morning of 22/6 according to Vietnamese time, U.S. President Donald Trump unexpectedly announced that the U.S. military had conducted an air strike targeting three strategic nuclear facilities in Iran, including locations...

US suddenly launches airstrikes on Iran, officially joining the Israel-Iran war

Table of Contents
- Trump to Deliver National Address
- Underground Nuclear Facility Hit by Penetrating Missile
- International Law Faces Mounting Doubts
- Bitcoin Drops to $100,866

This morning at 07:50, U.S. President Trump announced on "Truth Social" that the U.S. military has launched an air strike on three core nuclear facilities in Iran, including Fordow, Natanz, and Isfahan, breaking the long-standing precedent of avoiding direct attacks on Iranian mainland. The New York Times directly points out that this action constitutes a "war act".

We have successfully completed the attack on three Iranian nuclear facilities, including Fordow, ...

Trump: The United States successfully "attacked three Iranian nuclear facilities" and broke the half-century red line. Bitcoin crashed to $100,866

On June 22, the Governor of Texas - Greg Abbott - officially signed the Bitcoin Reserve Bill SB 21, legalizing the state's holding of Bitcoin as part of its reserve assets...