PylangGhost 是一種新的遠端控制木馬(RAT),在網路安全界引起了廣泛關注。據認為,它是由與北韓有關的駭客組織Famous Chollima 開發的。這款基於Python 的惡意軟體專門攻擊Windows 系統,目標主要是加密貨幣和區塊鏈產業的用戶。憑藉隱藏性強且高度針對性的社交工程手法,PylangGhost 代表了針對加密產業的網路攻擊新趨勢。
PylangGhost 是什麼,它是怎麼運作的?
PylangGhost 是一種基於Python 的遠端控制木馬,攻擊者可透過它遠端操控感染的電腦。它可以竊取資料、執行命令,以及上傳或下載檔案。該惡意軟體由六個模組組成,因此可以根據需要靈活擴充功能。
攻擊者是如何傳播PylangGhost 的?
攻擊者通常會透過假工作機會來傳播這款惡意軟體。他們冒充知名加密公司的招募人員,透過虛假的面試過程引誘受害者安裝惡意檔案。例如,他們會要求受害者安裝所謂的視訊驅動程序,或運行一個名為“nvidia.py”的Python 腳本,而實際上這是啟動木馬程式的工具。
誰是PylangGhost 的攻擊目標?
主要目標是有加密貨幣和區塊鏈背景的開發者、工程師等專業人士。目前已知的受害者大多來自印度,該惡意軟體專門攻擊Windows 用戶,而它的Golang 版本則針對macOS 系統。
PylangGhost 主要竊取什麼資料?
它的主要目的在於竊取使用者憑證。PylangGhost 能提取來自密碼管理器(如1Password)的登入數據,還能讀取瀏覽器擴充功能和加密錢包中的信息,例如Metamask 和Phantom。它可以存取80 多種瀏覽器插件,並具備抓取會話cookie 和機密文件的能力。
有哪些新動向?
Cisco Talos 於2025 年5 月首次揭露了PylangGhost。隨後,這項攻擊活動進一步升級,手法也更為精細,包括偽裝成Zoom 音訊面試、甚至使用偽造的高階主管面試影片。這些行為與北韓其他網路攻擊組織(如BlueNoroff)的方法非常相似。
用戶該如何保護自己?
要保持安全,可採取以下措施:
對來自不明來源的加密產業工作邀約保持警惕
面試過程中不要安裝任何陌生軟體
使用強大的終端防護工具和行為監測軟體
定期更新作業系統和瀏覽器
核實招募人員身分和招募平台的真實性
結語
PylangGhost 不只是另一個普通的惡意軟體,它是針對加密經濟領域的精準攻擊工具,結合心理誘導和技術手段來實施攻擊。雖然目前它的傳播範圍還不算廣,但背後的高技術含量預示著未來對數位金融的威脅會越來越複雜。保持警覺並提高安全意識,是每個使用者保護自己的第一步。
