• 假加密货币工作面试被用来欺骗受害者运行伪装成“视频驱动程序”命令的恶意软件。
• 恶意软件PylangGhost从80多个浏览器扩展中窃取凭据和加密钱包数据。
• 该活动与朝鲜著名的Chollima组织有关，通过量身定制的社会工程针对加密货币专业人士（尤其是印度）。

思科Talos报道称，一个名为“Famous Chollima”的朝鲜黑客组织一直在集中攻击印度的加密货币求职者。该组织显然与拉撒路没有直接联系。

目前，很难确定这些行为是小盗窃还是大规模袭击的初步基础。加密货币行业的求职者在前进时应谨慎行事。

朝鲜的加密货币黑客攻击仍在继续

朝鲜Lazarus Group因加密货币犯罪而享有盛誉，实施了该行业历史上最大的黑客攻击。然而，这并不是该国唯一的Web 3犯罪企业，因为朝鲜在DeFi中拥有大量存在。

思科Talos发现了印度最近的一些犯罪活动，这些活动正在采取不同的方法来盗窃加密货币：

著名的Chollima，一个与朝鲜结盟的威胁行为者，正在用新的PylangGhost RAT瞄准加密货币/区块链专业人士（主要在印度），PylangGhost RAT是一个基于Python的相当于他们的GolangGhost RAT：https://t.co/fYKvY1tXdB pic.twitter.com/ojDl6Oz7Zv

— Cisco Talos Intelligence Group (@TalosSecurity) June 18, 2025

有报道称，Famous Chollima并不新鲜;它自2024年中期或更早以来一直在运行。在最近的几起事件中，朝鲜黑客试图通过申请公开职位列表渗透Kraken等美国加密货币公司。

著名的千里马公司却反其道而行之，用虚假的申请表吸引潜在的工人。

“这些活动包括.制作虚假招聘广告和技能测试页面。在后者中，用户被指示复制和粘贴恶意命令行，以安装进行最终技能测试阶段所需的驱动程序。[受影响的用户]主要在印度，”该公司声称。

除了拉撒路的强大声誉之外，Famous Chol利马的网络钓鱼工作似乎要笨拙得多。思科声称，该组织的虚假应用程序总是模仿著名的加密货币公司。

这些诱饵没有使用任何真正的公司的实际品牌，而是提出了与所谓的工作几乎无关的问题。

吞下诱饵

受害者通过冒充知名科技或加密货币公司的虚假招聘网站来引诱。填写申请表后，他们将被邀请参加视频面试。

在此过程中，该网站要求他们运行命令行说明（声称用于安装视频驱动程序），这实际上是下载和安装恶意软件。

安装后，PylangGhost即可让攻击者完全控制受害者的系统。它窃取登录凭据、浏览器数据和加密钱包信息，针对80多个流行扩展，例如MetaMass、Phantom和1Token。

最近，在挫败恶意软件攻击后，BitMEX声称Lazarus至少使用了两个团队：一个低技能团队最初破坏安全协议，一个高技能团队进行后续盗窃。也许这是朝鲜黑客界的常见做法。

不幸的是，如果不进行猜测，很难得出任何确定的结论。朝鲜是否想攻击这些申请人，以便更好地冒充加密货币行业求职者？

用户应谨慎对待未经请求的职位邀请，避免运行未知命令，并通过端点保护、MFA和浏览器扩展监控来保护其系统。

在共享任何敏感信息之前，请务必验证招聘门户的合法性。