思科的威胁情报组织思科塔洛斯（Cisco Talos）发现了一种新的基于Python的恶意软件，名为“PylangGhost”。它与朝鲜黑客组织“著名千里马”有关。根据思科塔洛斯最近的一篇博客文章，PylangGhost 仅被与朝鲜相关的网络威胁行为者用于渗透那些在加密行业中寻找职位的求职者的硬件设备。PylangGhost 是一种新型的基于Python的远程访问特洛伊木马，其功能类似于思科塔洛斯去年12月发现的GolangGhost RAT。最近，网络安全公司发现，该组织正在积极使用名为“著名千里马”的黑客组织来入侵Windows系统，同时继续为MacOS用户部署基于Golang的版本。到目前为止，公开来源数据显示，受恶意软件影响的大多数受害者位于印度。由于“著名千里马”多次尝试通过虚假招聘信息窃取密码、入侵用户的加密钱包并获取其他敏感信息，因此也被昵称为“工资蠕虫”。你可能也会喜欢：打印机漏洞揭示了对加密货币钱包的新威胁北韩黑客是如何锁定受害者的？根据报告，黑客组织通过伪造的工作面试活动，利用社会工程学手段诱骗受害者。攻击者随后创建假冒主要加密公司的虚假工作网站，包括Coinbase、Robinhood和Uniswap等。受害者随后需要参与由假招聘人员发起的多个步骤。他们会被邀请打开欺诈性的技能测试网站，在那里收集他们的个人信息。当准备虚假面试时，用户会被诱骗启用网站访问其摄像头和麦克风的权限。在此过程中，假招聘人员会以安装更新视频驱动程序为借口，要求他们复制并执行恶意命令。在命令执行后，恶意软件能够侵入他们的设备。该命令允许远程控制受感染的设备，并授予攻击者访问超过80个浏览器扩展的cookie和凭据的权限。这些包括对密码管理器和加密货币钱包的访问权限，包括MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX。正如今年四月加密报道的那样，另一个北韩黑客集体拉撒路集团也使用了类似的方法来诱骗用户。攻击者会部署带有至少三种与北韩网络行动相关的检测到的恶意软件的虚假工作申请。阅读更多：拉撒路集团间谍设立美国空壳公司欺骗加密开发者：报告