重要なポイント
北朝鮮のハッカーは、コインベースやロビンフッドなどの大手仮想通貨企業の採用担当者を装い、偽のビデオ面接中に求職者を騙してスパイウェアをインストールさせている。
GolangGhostやFROSTYFERRETなどのスパイウェアにより、北朝鮮のハッカーはパスワードを盗み、侵入したデバイスをリモート制御できるようになります。
このキャンペーンは北朝鮮のラザルス・グループと関連しており、同グループは過去1年間に50億~100億ドル相当の盗難仮想通貨をマネーロンダリングしたと報じられている。
「フェイマス・チョルリマ」として知られる北朝鮮のハッカー集団が、コインベースやロビンフッドなど大手仮想通貨企業の採用担当者になりすまし、偽の就職面接を通じてスパイウェアを配布していたことが発覚した。
この作戦は、過去1年間に盗まれた数十億ドル相当の仮想通貨をマネーロンダリングしたとされるラザルス・グループに関連した、より広範なサイバー攻撃の一部である。
欺瞞的なインタビュー
セキュリティ会社Rhynoによると、攻撃者はリクルーターを装って接触を開始する。ソーシャルメディア上で、暗号通貨やテクノロジー分野の求職者をターゲットにしています。
被害者は、偽のビデオプラットフォームで実施されるビデオインタビューに参加するよう求められます。
このプロセスの一環として、自己紹介を録音するよう求められます。
被害者がウェブカメラを起動しようとすると、エラーメッセージが表示されます。この時点で、攻撃者は問題を「修正」するためにターミナルコマンドを実行するよう指示します。
実際には、このコマンドは GolangGhost と呼ばれるスパイウェア ツールと、被害者が入力したパスワードをキャプチャし、攻撃者が管理する Dropbox フォルダにアップロードする FROSTYFERRET と呼ばれる二次モジュールをインストールします。
GolangGhost: ステルス性の高いリモートアクセスツール
GolangGhost がインストールされると、攻撃者は密かに被害者のシステムにリモートアクセスできるようになります。
その機能は次のとおりです:
ファイル転送: 侵害されたマシンとの間でファイルをアップロードおよびダウンロードします。
データ収集: 保存されたパスワード、セッション Cookie、閲覧履歴などのブラウザ データを抽出します。
システム プロファイリング: OS バージョン、ハードウェア仕様、インストールされているアプリケーション、ネットワーク設定などの詳細なシステム情報を収集します。
2025年5月、シスコのタロスインテリジェンスグループは、攻撃者は、Windows システムをより効果的に標的とするために、GolangGhost の Python ベースの亜種を展開し始めたようです。
このバージョンは同じ範囲の機能を備えており、ハッカーは感染したデバイスを完全に制御して、暗号通貨ウォレットを盗み、個人情報や企業データを抜き取り、リアルタイムでコマンドを実行できるようになります。
北朝鮮のハッキング活動
この攻撃は、北朝鮮の国家支援を受けているとされるハッキング部隊による、ますます巧妙化している一連のハッキング攻撃の最新のものだ。
ブロックチェーン調査会社ZachXBTによると、過去1年間で、ラザルスグループは、Bybitの15億ドルの不正利用やWazirXの2億3600万ドルの侵害など、いくつかの大規模な仮想通貨強盗に関連していた。
ZachXBTも報じている同グループは、USDTのようなステーブルコインを移動するためにTronの低料金ブロックチェーンネットワークを使用しており、盗まれた資金の追跡と凍結が困難になっているという。
これらのチャネルはマネーロンダリングの「安全な避難場所」となっていると報じられており、推定50億ドルから100億ドルの違法資金がそこを経由して流れていると示唆されている。
