Cisco Talos đưa tin rằng một nhóm tin tặc Triều Tiên có tên “Famous Cholima” đang tập trung tấn công vào những người tìm việc làm liên quan đến tiền điện tử ở Ấn Độ. Nhóm này dường như không có bất kỳ mối liên hệ trực tiếp nào với Lazarus.
Hiện tại, rất khó để xác định liệu những nỗ lực này chỉ là hành vi trộm cắp đơn thuần hay là bước mở đầu cho một cuộc tấn công lớn hơn. Những người tìm việc trong ngành tiền điện tử nên thận trọng trong tương lai.
Bắc Triều Tiên tiếp tục tấn công tiền điện tử
Nhóm Lazarus của Bắc Triều Tiên khét tiếng với tội phạm tiền điện tử , đã thực hiện vụ hack lớn nhất trong lịch sử ngành . Nhưng đây không phải là hoạt động tội phạm Web3 duy nhất của Bắc Triều Tiên. Bắc Triều Tiên cũng có sự hiện diện lớn trong DeFi .
Cisco Talos gần đây đã phát hiện một cách tiếp cận khác để trộm tiền điện tử ở Ấn Độ :
Famous Chollima, một tác nhân đe dọa liên kết với Triều Tiên, đang nhắm mục tiêu vào các chuyên gia tiền điện tử/chuỗi khối (chủ yếu ở Ấn Độ) với PylangGhost RAT mới, một phiên bản tương đương dựa trên Python với GolangGhost RAT của chúng: https://t.co/fYKvY1tXdB pic.twitter.com/ojDl6Oz7Zv
— Nhóm thông minh Cisco Talos (@TalosSecurity) Ngày 18 tháng 6 năm 2025
Theo báo cáo, Famous Cholima không phải là một nhóm mới và đã hoạt động từ giữa năm 2024 hoặc sớm hơn. Trong một số vụ việc gần đây , tin tặc Triều Tiên đã cố gắng xâm nhập Kraken, một công ty tiền điện tử có trụ sở tại Hoa Kỳ .
Ngược lại, Cholima nổi tiếng đã thu hút những người lao động tiềm năng bằng những đơn xin việc giả mạo.
“Chiến dịch này… bao gồm việc tạo ra các bài đăng việc làm giả mạo và các trang thử nghiệm công nghệ. Trong trường hợp sau, người dùng được hướng dẫn sao chép và dán các lệnh độc hại tuyên bố rằng họ cần cài đặt trình điều khiển để thực hiện giai đoạn thử nghiệm công nghệ cuối cùng. [Những người dùng bị ảnh hưởng] chủ yếu ở Ấn Độ”, công ty tuyên bố.
So với danh tiếng khét tiếng của Lazarus, các nỗ lực lừa đảo của Famous Cholima có vẻ vụng về hơn nhiều. Cisco tuyên bố rằng các ứng dụng giả mạo của nhóm này luôn bắt chước các công ty tiền điện tử nổi tiếng.
Những lời dụ dỗ này không sử dụng thương hiệu thực tế của công ty và đặt ra những câu hỏi không liên quan nhiều đến công việc đang được đề cập.
nuốt mồi
Nạn nhân bị dụ vào các trang web việc làm giả mạo, giả danh là các công ty công nghệ hoặc tiền điện tử nổi tiếng. Sau khi điền đơn, họ được mời tham gia phỏng vấn qua video.
Trong quá trình này, trang web sẽ yêu cầu bạn chạy lệnh để cài đặt trình điều khiển video, nhưng thực tế là nó sẽ tải xuống và cài đặt phần mềm độc hại.
Sau khi cài đặt, PylangGhost cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống của nạn nhân. Nó đánh cắp thông tin đăng nhập, dữ liệu trình duyệt, thông tin ví tiền điện tử và nhắm mục tiêu vào hơn 80 tiện ích mở rộng phổ biến như MetaMask, Phantom và 1Password.
Gần đây, BitMEX tuyên bố rằng Lazarus sử dụng ít nhất hai nhóm sau khi một cuộc tấn công phần mềm độc hại bị ngăn chặn: một nhóm ít kỹ năng hơn ban đầu xâm nhập vào các giao thức bảo mật và một nhóm có kỹ năng hơn thực hiện hành vi trộm cắp sau đó. Đây có thể là một hoạt động phổ biến trong cộng đồng tin tặc Triều Tiên.
Thật không may, rất khó để đưa ra bất kỳ kết luận chắc chắn nào nếu không có suy đoán. Liệu Triều Tiên có thể hack những người nộp đơn này để đóng giả là người tìm việc cho ngành công nghiệp tiền điện tử không?
Người dùng nên cảnh giác với những lời mời làm việc không mong muốn, tránh chạy các lệnh không xác định và bảo mật hệ thống của mình bằng tính năng bảo vệ điểm cuối, MFA và giám sát tiện ích mở rộng của trình duyệt.
Luôn xác minh tính hợp pháp của cổng thông tin tuyển dụng trước khi chia sẻ thông tin nhạy cảm.
