Вирус, который прячется за собеседованием: почему даже IT-специалисты попадаются на эту уловку

Представьте: вы проходите собеседование в крупную криптокомпанию, выполняете "технический тест" — и в этот момент ваш компьютер заражается трояном. Именно так действует северокорейская хакерская группа Famous Chollima, которая начала распространять новый вирус PylangGhost через фейковые вакансии.

Ловушка для соискателей: фальшивые платформы и "драйверы для камеры"

Атака начинается с поддельных сайтов, копирующих известные криптоплатформы — Coinbase, Robinhood или Uniswap. Жертвам, чаще всего IT-специалистам из Индии, предлагают пройти тестовое задание, а затем — присоединиться к видеоинтервью.

Но вместо видеозвонка соискатель получает инструкцию ввести команду в консоль, якобы для установки драйвера. На деле это активирует загрузку трояна PylangGhost, который:

Полностью контролирует систему.
Ворует cookies и логины из 80+ браузерных расширений.
Нацелен на менеджеры паролей (1Password, NordPass) и криптокошельки (MetaMask, Phantom).

Директор Digital South Trust Дилип Кумар:

"Индии нужны обязательные аудиты кибербезопасности для блокчейн-компаний и контроль фейковых job-порталов. CERT-In должна выпускать красные предупреждения, а MEITY — усилить международное сотрудничество против киберпреступности".

Почему Индия? Северокорейская стратегия

Атаки на индийских специалистов — часть долгосрочного плана КНДР. Хакеры не просто крадут деньги, но и внедряют агентов в криптокомпании для сбора данных. PylangGhost — эволюция трояна GolangGhost (ранее атаковавшего macOS), но теперь под Windows.

Интересный факт: Исследователи Cisco Talos подтвердили, что вирус написан без использования ИИ — вручную, что редко для современных угроз.