Diesen Artikel teilen
Nordkoreanische Hacker zielen mit in Bewerbungen versteckter Schadsoftware auf führende Krypto-Unternehmen ab
Eine mit der DVRK verbundene Gruppe nutzt gefälschte Jobportale und Python-Malware, um Windows-Systeme von Blockchain-Experten zu infiltrieren — mit dem Diebstahl von Zugangsdaten und Fernzugriff als Endziel.
Was Sie wissen sollten:
- Eine nordkoreanische Hackergruppe verwendet Python-basierte Malware, die als gefälschte Bewerbungen getarnt ist, um Kryptobeschäftigte ins Visier zu nehmen.
- Die Malware PylangGhost ist eine Variante von GolangGhost und zielt darauf ab, Unternehmen durch die Kompromittierung von Einzelpersonen zu infiltrieren.
- Angreifer geben sich als führende Kryptowährungsunternehmen aus und verleiten Opfer dazu, Malware durch gefälschte Fähigkeitstests zu installieren.
Eine nordkoreanische Hackergruppe zielt mit einer Python-basierten Malware, die als Teil eines gefälschten Bewerbungsprozesses getarnt ist, auf Krypto-Mitarbeiter ab, berichten Forscher von Cisco Talos sagte früher diese Woche.
Die meisten Opfer scheinen ihren Sitz in Indien zu haben, basierend auf Open-Source-Signalen, und scheinen Personen mit vorheriger Erfahrung in Blockchain- und Kryptowährungs-Startups zu sein.
Die Geschichte geht weiter
Verpassen Sie keine weitere Geschichte.Abonnieren Sie noch heute den The Protocol Newsletter. Alle Newsletter ansehen
Während Cisco keine Hinweise auf eine interne Kompromittierung meldet, bleibt das übergeordnete Risiko klar: Dass diese Bemühungen darauf abzielen, Zugang zu den Unternehmen zu erlangen, denen diese Personen schließlich beitreten könnten.
Die Malware mit dem Namen PylangGhost ist eine neue Variante des zuvor dokumentierten GolangGhost Remote-Access-Trojaners (RAT) und weist die meisten der gleichen Funktionen auf — lediglich in Python neu geschrieben, um Windows-Systeme besser anzugreifen.
Mac-Nutzer sind weiterhin von der Golang-Version betroffen, während Linux-Systeme offenbar unbeeinträchtigt bleiben. Der hinter der Kampagne stehende Bedrohungsakteur, bekannt als Famous Chollima, ist seit Mitte 2024 aktiv und gilt als eine dem DPRK nahestehende Gruppe.
Ihr jüngster Angriffsvektor ist einfach: Sie geben sich als führende Krypto-Unternehmen wie Coinbase, Robinhood und Uniswap aus, indem sie hochprofessionelle gefälschte Karriereseiten erstellen, und locken Softwareingenieure, Marketingfachleute und Designer dazu, inszenierte „Fähigkeitstests“ zu absolvieren.
Sobald ein Ziel grundlegende Informationen eingibt und technische Fragen beantwortet, wird es aufgefordert, gefälschte Videotreiber zu installieren, indem es einen Befehl in sein Terminal einfügt, der stillschweigend den auf Python basierenden RAT herunterlädt und startet.
Die Nutzlast ist in einer ZIP-Datei versteckt, die den umbenannten Python-Interpreter (nvidia.py), ein Visual Basic-Skript zum Entpacken des Archivs sowie sechs Kernmodule enthält, die für Persistenz, System-Fingerprinting, Dateiübertragung, Remote-Shell-Zugriff und den Diebstahl von Browserdaten verantwortlich sind.
Der RAT zieht Anmeldeinformationen, Sitzungscookies und Wallet-Daten aus über 80 Erweiterungen, darunter MetaMask, Phantom, TronLink und 1Password.
Der Befehlssatz ermöglicht die vollständige Fernsteuerung infizierter Maschinen, einschließlich Datei-Uploads, Downloads, Systemerkundung und dem Starten einer Shell — alles über RC4-verschlüsselte HTTP-Pakete geleitet.
RC4-verschlüsselte HTTP-Pakete sind Daten, die über das Internet gesendet und mithilfe einer veralteten Verschlüsselungsmethode namens RC4 verschlüsselt werden. Obwohl die Verbindung selbst nicht sicher ist (HTTP), sind die darin enthaltenen Daten verschlüsselt, jedoch nicht besonders gut, da RC4 veraltet ist und nach heutigen Maßstäben leicht zu knacken ist.
Trotz einer Neufassung spiegeln die Struktur und die Benennungskonventionen von PylangGhost fast genau die von GolangGhost wider, was darauf hindeutet, dass beide wahrscheinlich vom selben Betreiber verfasst wurden, erklärte Cisco.
Weiterlesen: Nordkoreanische Hacker zielen mit US-Treuhandfirmen auf Krypto-Entwickler ab
Mehr für Sie
Was Sie wissen sollten:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mehr für Sie
NFT-Projekt Pudgy Penguins erobert Las Vegas Sphere in der Feiertagskampagne
Die animierten Segmente der NFT-Marke werden während der Weihnachtswoche auf der Sphere ausgestrahlt, was den Vorstoß des Krypto-Unternehmens in reale Verbrauchermärkte signalisiert.
Was Sie wissen sollten:
- Pudgy Penguins wird während der Weihnachtswoche eine Werbekampagne in der Las Vegas Sphere durchführen, als eine der wenigen Krypto-Marken, die einen Platz in diesem hochkarätigen Veranstaltungsort sichern konnten.
- Das NFT-Projekt, das 2021 auf Ethereum gestartet wurde, hat sich im Rahmen einer breiteren Verbraucherstrategie auf physische Spielzeuge und digitales Gaming ausgeweitet.
- Pudgy Penguins überholten Anfang dieses Jahres kurzzeitig die Bored Apes beim Floor-Preis und haben kürzlich ihren PENGU-Token auf Solana eingeführt, der nun an großen Börsen gehandelt wird.
Top-Geschichten
