2025-06-20 06:13:00
Cisco Talos, l’organisation de renseignement sur les menaces de Cisco, a récemment mis au jour un nouveau malware basé sur Python, nommé ‘PylangGhost’, qui serait lié à un groupe de hackers nord-coréens connu sous le nom de Famous Chollima.
Dans un article publié par Cisco Talos, il est révélé que PylangGhost est utilisé exclusivement par des acteurs de cybersécurité affiliés à la Corée du Nord pour cibler des chercheurs d’emploi dans le secteur de la cryptomonnaie. Ce malware agit comme un cheval de Troie d’accès à distance, à l’image du GolangGhost RAT, découvert en décembre 2024.
Utilisation ciblée de PylangGhost
Les dernières investigations menées par Cisco Talos indiquent que PylangGhost est particulièrement actif contre les systèmes Windows. Ce groupe de hackers, Famous Chollima, continue également de déployer une version basée sur Golang pour les utilisateurs de MacOS. Les données disponibles suggèrent que la majorité des victimes se trouvent en Inde, attirées par de fausses opportunités d’emploi.
Le modus operandi de Famous Chollima
Famous Chollima, surnommé “Wagemole”, utilise des tactiques de manipulation sociale pour attirer ses victimes. Ils mettent en place des campagnes d’embauche trompeuses via des sites d’emploi fictifs qui imitent de grandes entreprises du secteur, telles que Coinbase, Robinhood et Uniswap.
Les victimes sont ensuite dirigées vers des processus d’entretien fictifs orchestrés par des recruteurs frauduleux. Au cours de ces fausses procédures, elles sont invitées à participer à des tests de compétences sur des sites contrefaits, où leurs données personnelles sont collectées.
Exécution de commandes malveillantes
Lors de la préparation pour l’entretien fictif, l’utilisateur est piégé en permettant au site d’accéder à sa caméra et son microphone. À ce stade, le recruteur factice demande à la victime de copier et d’exécuter des commandes malveillantes, sous prétexte de mettre à jour les pilotes vidéo.
Une fois les commandes exécutées, le malware s’infiltre dans l’appareil de la victime, offrant aux attaquants un accès à distance. Ce processus permet de récupérer des informations sensibles, y compris des cookies et des identifiants provenant de plus de 80 extensions de navigateur.
Ciblage spécifique des portefeuilles numériques
PylangGhost cible notamment des gestionnaires de mots de passe et des portefeuilles cryptographiques tels que MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink et MultiverseX. Une telle intrusion met en péril la sécurité des actifs numériques des utilisateurs.
Il convient également de noter qu’un autre groupe de hackers nord-coréen, le Lazarus Group, a été observé adoptant des méthodes semblables pour piéger les internautes. Selon un rapport précédent, ces attaquants ont diffusé des fausses candidatures associées à au moins trois types de malware connus pour leurs connexions aux opérations de cybersécurité nord-coréennes.