{"id":5966,"date":"2025-06-20T04:02:11","date_gmt":"2025-06-20T04:02:11","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/la-corea-del-nord-colpisce-i-lavoratori-crypto-con-un-nuovo-malware-rubapassword\/"},"modified":"2025-06-20T04:02:11","modified_gmt":"2025-06-20T04:02:11","slug":"la-corea-del-nord-colpisce-i-lavoratori-crypto-con-un-nuovo-malware-rubapassword","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/la-corea-del-nord-colpisce-i-lavoratori-crypto-con-un-nuovo-malware-rubapassword\/","title":{"rendered":"La Corea del Nord colpisce i lavoratori crypto con un nuovo malware rubapassword"},"content":{"rendered":"<article>\n<h2>Attacco Maligno nel Settore delle Criptovalute<\/h2>\n<p>Un attore <strong>malevolo<\/strong> associato alla Corea del Nord ha preso di mira i cercatori di lavoro nel settore delle criptovalute con un nuovo <strong>malware<\/strong> progettato per rubare le <strong>password<\/strong> dei portafogli crypto e dei gestori di password.<\/p>\n<h2>Scoperta di PylangGhost<\/h2>\n<p><em>Cisco Talos<\/em> ha riportato mercoled\u00ec di aver scoperto un nuovo Trojan di accesso remoto (<strong>RAT<\/strong>) basato su Python, denominato \u201c<strong>PylangGhost<\/strong>.\u201d<\/p>\n<p>Il malware \u00e8 collegato a un collettivo di hacker noto come \u201c<strong>Famous Chollima<\/strong>,\u201d anche conosciuto come \u201c<strong>Wagemole<\/strong>.\u201d Questo gruppo di hacker ha puntato su cercatori di lavoro e professionisti del settore, in particolare in India, utilizzando attacchi basati su <strong>false campagne di assunzione<\/strong> attraverso <strong>ingegneria sociale<\/strong>.<\/p>\n<blockquote><p>\n        &#8220;In base alle posizioni pubblicizzate, \u00e8 chiaro che il Famous Chollima sta cercando di colpire un ampio spettro di individui con precedenti esperienze in tecnologie di criptovalute e blockchain.&#8221;\n    <\/p><\/blockquote>\n<h2>Strategia di Attacco<\/h2>\n<p>Gli aggressori creano siti di lavoro fraudolenti imitanti aziende legittime, come <strong>Coinbase<\/strong>, <strong>Robinhood<\/strong> e <strong>Uniswap<\/strong>, e conducono le vittime attraverso un processo in pi\u00f9 fasi. Questo processo inizia con un contatto da parte di recruiter falsi che inviano inviti a siti web di test delle competenze, dove avviene la raccolta delle informazioni.<\/p>\n<p>Dopo una fase di adesione, le vittime vengono indotte ad abilitare l&#8217;<strong>accesso video<\/strong> e alla <strong>fotocamera<\/strong> per colloqui fittizi, durante i quali vengono ingannate nel copiare ed eseguire comandi malevoli, sotto il pretesto di installare driver video aggiornati, compromettendo cos\u00ec i loro dispositivi.<\/p>\n<h2>Funzionalit\u00e0 del Malware<\/h2>\n<p><strong>PylangGhost<\/strong> \u00e8 una variante del RAT <strong>GolangGhost<\/strong> precedentemente documentato e condivide funzionalit\u00e0 simili, come riportato da Cisco Talos. Al momento dell&#8217;esecuzione, gli attivi comandi abilitano il controllo remoto del sistema infetto e il furto di cookie e credenziali da oltre <strong>80 estensioni del browser<\/strong>. Queste includono gestori di password e portafogli di criptovalute, come <strong>MetaMask<\/strong>, <strong>1Password<\/strong>, <strong>NordPass<\/strong>, <strong>Phantom<\/strong>, <strong>Bitski<\/strong>, <strong>Initia<\/strong>, <strong>TronLink<\/strong> e <strong>MultiverseX<\/strong>.<\/p>\n<p>Il malware \u00e8 in grado di eseguire ulteriori operazioni e diversi comandi, tra cui acquisire schermate, gestire file, rubare dati del browser e raccogliere informazioni di sistema, mantenendo cos\u00ec l&#8217;accesso remoto ai sistemi infettati.<\/p>\n<h2>Utilizzo di Tecniche di Ingegneria Sociale<\/h2>\n<p>I ricercatori hanno anche notato che \u00e8 improbabile che gli attori malevoli abbiano utilizzato modelli di linguaggio di intelligenza artificiale per redigere il codice, basandosi sui commenti presenti all&#8217;interno dello stesso.<\/p>\n<p>Non \u00e8 la prima volta che hacker associati alla Corea del Nord utilizzano posti di lavoro e colloqui fittizi per attrarre le proprie vittime. Ad aprile, hacker legati al furto di <strong>1,4 miliardi di dollari<\/strong> da <strong>Bybit<\/strong> avevano preso di mira sviluppatori crypto usando falsi test di assunzione infettati con malware.<\/p>\n<\/article>\n","protected":false},"excerpt":{"rendered":"<p>Attacco Maligno nel Settore delle Criptovalute Un attore malevolo associato alla Corea del Nord ha preso di mira i cercatori di lavoro nel settore delle criptovalute con un nuovo malware progettato per rubare le password dei portafogli crypto e dei gestori di password. Scoperta di PylangGhost Cisco Talos ha riportato mercoled\u00ec di aver scoperto un nuovo Trojan di accesso remoto (RAT) basato su Python, denominato \u201cPylangGhost.\u201d Il malware \u00e8 collegato a un collettivo di hacker noto come \u201cFamous Chollima,\u201d anche conosciuto come \u201cWagemole.\u201d Questo gruppo di hacker ha puntato su cercatori di lavoro e professionisti del settore, in particolare in<\/p>\n","protected":false},"author":3,"featured_media":5965,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,62,52,728,65,272,72,2317,180,59],"class_list":["post-5966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-bybit","tag-coinbase","tag-gemini","tag-hack","tag-metamask","tag-north-korea","tag-phantom","tag-robinhood","tag-uniswap"],"yoast_description":"Gli hacker nordcoreani mirano ai lavoratori del settore crypto con un nuovo malware, PylangGhost, rubando password attraverso colloqui di lavoro falsi e comandi malevoli.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/5966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=5966"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/5966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/5965"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=5966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=5966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=5966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}