著名的 Chollima 黑客使用 GolangGhost RAT 攻击 Windows 和 MacOS 用户

来自臭名昭著的 Famous Chollima 组织的与朝鲜结盟的威胁行为者通过部署一种针对加密货币和区块链领域的 Windows 和 macOS 用户的基于 Python 的复杂新型远程访问木马，升级了他们的网络行动。

恶意软件活动代表了他们之前记录的 GolangGhost RAT 的重大演变，展示了该组织通过精心设计的社会工程计划追求经济利益的持续适应和技术成熟度。

该攻击活动主要通过复杂的虚假招聘流程针对软件工程师、营销人员、设计师和其他具有加密货币和区块链技术经验的专业人士。

初始虚假招聘网站示例（来源 – Cisco Talos）

威胁行为者创建令人信服的虚假雇主网站，冒充 Coinbase、Archblock、Robinhood、Parallel Studios 和 Uniswap 等合法公司，引诱毫无戒心的受害者进入他们的陷阱。

这些欺骗性网站会引导潜在受害者完成现实的技能测试阶段，最终导致恶意负载部署。

思科 Talos 研究人员于 2025 年 5 月发现了这种基于 Python 的新变体，称为“PylangGhost”，并指出它与之前记录的 GolangGhost RAT 的功能相似，同时在不同的作系统中保持不同的功能。

研究小组观察到，威胁行为者正在战略性地为 Windows 系统部署基于 Python 的版本，同时继续为 macOS 用户使用基于 Golang 的版本，而 Linux 系统显然被排除在当前的目标工作之外。

复制、粘贴和执行恶意命令的 Windows 说明（来源 – Cisco Talos）

根据开源情报，该活动的范围似乎有限，主要影响印度用户，思科产品遥测表明对思科客户没有影响。

然而，攻击方法的复杂性和高价值目标表明有可能进行更广泛的部署。

自 2024 年年中以来，Famous Chollima 集团，也称为 Wagemole，通过各种有据可查的活动保持了稳定的活动，包括传染性访谈和 ClickFix 技术的变体。

通过安装假视频驱动程序的复杂感染机制

感染过程展示了非凡的社会工程复杂性，首先受害者收到邀请码以访问使用 React 框架构建的技能测试网站。

在完成问卷并提供个人详细信息后，受害者会遇到一个看似合法的请求，要求启用摄像头访问权限以进行视频录制。

然后，恶意网站会显示安装据称视频驱动程序的详细说明，其中包含专门为受害者的作系统和浏览器量身定制的命令。

复制、粘贴和执行恶意命令的 MacOS 说明（来源 – Cisco Talos）

技术执行因平台而异，Windows 用户接收 PowerShell 或 Command Shell 指令，而 macOS 用户接收 Bash 命令。

该恶意命令会下载一个包含 PylangGhost 模块的 ZIP 文件和一个 Visual Basic 脚本文件，该文件负责从 “lib.zip” 中提取 Python 库，并通过执行 “nvidia.py” 的重命名 Python 解释器启动特洛伊木马。

这种多阶段方法有效地将恶意软件部署伪装成合法的驱动程序安装，利用用户对已建立的软件安装程序的信任。

PylangGhost 架构由六个结构良好的 Python 模块组成，主要执行从“nvidia.py”开始，建立系统持久性，生成唯一的系统标识符，并启动命令和控制通信。

该恶意软件的配置允许从 80 多个浏览器扩展中窃取凭据和会话 cookie，包括 Metamask、1Password、NordPass 和 TronLink 等著名的加密货币钱包，直接支持该组织的财务目标。

原文来自: cybersecuritynews.com