«Вы приняты!». Но сначала введите команду, чтобы отдать все деньги

В мае 2025 года специалисты Cisco Talos обнаружили новую версию трояна удалённого доступа, написанную на Python и получившую имя PylangGhost. Она используется группировкой Famous Chollima, связанной с Северной Кореей. По своим функциям вредонос почти полностью повторяет предыдущий инструмент GolangGhost, созданный на языке Go. Разделение по языкам не случайно: версия на Python применяется против пользователей Windows, а Golang-версия — против владельцев MacOS. Пользователи Linux в новых атаках не затронуты.

Целевой аудиторией кибератак становятся специалисты с опытом в области блокчейн-технологий и криптовалют. При этом, по данным из открытых источников, количество жертв ограничено, и большинство из них находятся в Индии. Телеметрия продуктов Cisco не зафиксировала пострадавших среди своих пользователей.

Группировка Famous Chollima (Wagemole) с середины 2024 года активизировалась в ряде кампаний, включающих использование вредоносных программ и обманных сценариев. Особое внимание привлекает метод под названием ClickFix , когда жертву убеждают вручную ввести вредоносную команду в терминале под предлогом прохождения «технического собеседования». Такие кампании распространяются через фальшивые сайты вакансий, где размещены тестовые задания и формы для подачи видеоинтервью.

Сайты визуально копируют интерфейсы известных криптокомпаний, таких как Coinbase, Uniswap, Robinhood и других. Разработаны они на React и подстроены под конкретные браузеры и операционные системы. После прохождения анкет и загрузки личных данных пользователям предлагается записать видео, для чего требуется нажать на кнопку «Разрешить доступ к камере». Следующим шагом идёт инструкция по установке якобы необходимых драйверов, которая на самом деле запускает вредонос.

В зависимости от операционной системы команда написана на PowerShell, CMD или Bash. Она загружает ZIP-архив, содержащий сам троян PylangGhost, а также скрипт на Visual Basic, который извлекает библиотеку Python и запускает троян через файл «nvidia.py». Этот файл сохраняет автозагрузку в реестре, генерирует уникальный идентификатор системы и устанавливает связь с сервером управления (C2).

Троян построен из шести модулей, каждый из которых отвечает за отдельную функцию. Основной модуль запускает связь с C2, конфигурационный — задаёт допустимые команды, ещё один отвечает за обработку этих команд. Среди возможных действий: кража файлов, удалённое выполнение команд, получение системной информации и, главное, массовый сбор данных из браузеров. В списке целей — более 80 расширений, включая кошельки и менеджеры паролей, такие как Metamask, Phantom, 1Password, Bitski и TronLink.

Передача данных осуществляется по HTTP, но с RC4-шифрованием внутри. Пакет содержит контрольную сумму, ключ и зашифрованный блок данных. Эта организация не обеспечивает стойкой защиты, но затрудняет анализ при перехвате трафика.

Сравнение структур версий на Python и Go показывает почти полное совпадение функций и названий модулей. Это может указывать либо на тесное сотрудничество между разработчиками, либо на то, что обе версии написаны одним и тем же автором. Интересно, что версия на Python помечена как 1.0, а Golang-вариант — как 2.0, хотя напрямую это может и не означать последовательности разработки.

В результате создаётся картина, в которой угроза маскируется под реальную карьерную возможность, заманивая профессионалов из технологической сферы в ловушку. Сбор персональных данных и установка трояна происходят под видом доброжелательного найма, превращая доверие в уязвимость .