暗号通貨関連のハッキング活動は、新たな憂慮すべきレベルに達しています。
Cisco Talosの報告によると、「Famous Chollima」として知られる北朝鮮のサイバー犯罪者グループは、その活動を強化しているようです。
Lazarus Groupのように暗号企業に対して露骨で大規模な攻撃を行う代わりに、Famous Chollimaはこの分野の企業にアクセスするための独創的な戦略を考案しました。
「Famous Chollimaは北朝鮮と連携している脅威アクターで、ブロックチェーンと暗号通貨の専門家(主にインド)をターゲットにしており、以前のGolangGhost RATのPythonバージョンである新しいPylangGhost RATを使用しています」said Cisco Talos.
。北朝鮮と連携した脅威アクターとして有名なChollimaは、彼らのGolangGhost RATと同等のPythonベースの新しいPylangGhost RATで暗号通貨/ブロックチェーンの専門家(主にインド)を標的にしています:https://t.co/fYKvY1tXdB pic.twitter.com/ojDl6Oz7Zv
- Cisco Talos Intelligence Group (@TalosSecurity) 2025年6月18日
Cisco Talosによると、「Famous Chollima」が最初に報告されたのは2024年半ばか、それよりも前のことです。
Lazarus Groupは、米国に拠点を置く暗号企業を直接ターゲットにし、場合によっては恐喝することで知られていますが、クラーケンなど、米国を拠点とする暗号企業を直接標的にし、場合によっては恐喝することで知られていますが、フェイマス・チョリマは、応募フォームを通じて企業ネットワークに侵入するという、異なるアプローチを取っています。
クラーケンやその他の企業に対する北朝鮮の行動とは異なり、フェイマス・チョリマの攻撃は、企業システムにアクセスするために応募者自身を利用するわけではありません。
その代わり、有名な暗号化企業を模倣した偽の採用サイトを通じて被害者を誘い出します。
しかし、求人の応募書類にはブランド名が記載されておらず、「このテクノロジー アプリケーション サーバーは何がそんなに難しいのですか」という一見無意味な質問が含まれています。
お粗末な実行に加え、これらの攻撃は、その有効性で知られるLazarus Groupの評判に反しています。Cisco Talosは、Famous Chollimaは比較的素人っぽいと指摘しています。
犯罪者は、テクノロジー企業や暗号企業を装った架空の求人サイトを通じて被害者を誘い出します。申請書を提出した後、疑いを持たない被害者はオンライン面接に招待されます。想定される面接の間、偽サイトは面接者にコマンドラインインターフェース(CLI)を介してコマンドを入力するよう要求する。
一度インストールされると、PylangGhostマルウェアによってFamous Chollimaは被害者のコンピュータにフルアクセスできるようになります。
さらに、このマルウェアは、MetaMask、Phantom、1Passwordを含む80以上の一般的な拡張機能をターゲットにしています。
攻撃の真のターゲットはまだ不明です。これらの行為が単なる単独犯なのか、それとも協調的な大規模攻撃への第一歩なのかはわかっていません。Famous Chollimaがこれらの候補者のコンピュータに感染しているのは、彼らになりすまし、より効果的に暗号化された求人市場に潜入するためかもしれません。
BITMEXの事件では、Lazarus Groupが少なくとも2つの別々のチーム(1つは潜入するための低レベルのチーム、もう1つはデータを盗むための高度に専門化されたチーム)を使っていることが明らかになりましたが、Famous Chollimaも北朝鮮のハッカーコミュニティの階層的な進化を表しているのではないかと考えるのは自然なことです。
暗号の世界、特にインドの職を求める候補者は、細心の注意を払う必要があります。未承諾の求人に注意すること。
また、エンドデバイスを保護し、多要素認証(MFA)を使用し、ブラウザの拡張機能を注意深く監視することが不可欠です。
最後に、個人情報や職業情報を提供する前に、採用ポータルの信頼性を確認することが重要です。
