En ny rapport från Cisco Talos avslöjar hur den Nordkorea-associerade hackergruppen Famous Chollima utnyttjar karriärdrömmar inom kryptobranschen för att sprida skadlig kod och stjäla identiteter. Den sofistikerade kampanjen riktar sig mot både Mac- och Windows-användare – och utvecklas fortfarande.
Falska jobberbjudanden från välkända kryptoföretag
Hackarna bakom kampanjen lockar intet ont anande personer med jobbannonser som ser ut att komma från etablerade kryptoföretag som Coinbase, Uniswap och Archblock. I annonserna efterfrågas erfarenhet av att arbeta med kryptovalutor, och den sökande får tillgång till en länk och en unik inbjudningskod.
Men bakom den trovärdiga fasaden döljer sig en avancerad phishing-attack. Sajten där den fiktiva rekryteringen sker är uppbyggd som ett slags steg-för-steg-process med tester, formulär och insamling av personlig information.
Dold trojan i “webbkamera-intervju”
I det sista steget av den påhittade intervjuprocessen uppmanas den sökande att spela in en videopresentation med sin webbkamera. Men när man ger sidan åtkomst till kameran visas ett felmeddelande. Användaren uppmanas då att ”uppdatera sina drivrutiner” – vilket i själva verket leder till nedladdning av skadlig programvara.
Det handlar om en trojan som infekterar enheten. Under maj 2025 upptäcktes en ny version av denna trojan, byggd i Python, vilket visar att attackmetoden fortsatt att utvecklas och är aktiv.
Identitetsstöld används för att ta sig in i företag
Cisco Talos varnar också för att hackergruppen inte enbart nöjer sig med att infektera användarnas datorer. De uppgifter som samlas in under den falska jobbprocessen – inklusive CV, personuppgifter och videopresentationer – används för att skapa falska identiteter.
Dessa identiteter används sedan i syfte att söka riktiga jobb inom teknik och kryptosektorn. Genom att få in foten i riktiga organisationer försöker hackergruppen infiltrera företag och skaffa sig intern tillgång för att potentiellt plantera ytterligare skadlig kod eller stjäla känslig information.
Långsiktig kampanj med koppling till Nordkorea
Famous Chollima har enligt Cisco Talos kopplingar till Nordkorea och har varit aktiv under flera år. Den nuvarande kampanjen har kunnat spåras tillbaka till sommaren 2024, men fortsätter att utvecklas med nya tekniker och varianter.
Attackerna är utformade för att se professionella och trovärdiga ut, och riktar sig särskilt till personer som är på jakt efter distansjobb inom kryptovalutor – en sektor som växt kraftigt i intresse, särskilt bland teknikintresserade och frilansande utvecklare.
