Cisco Talos har kartlagt en kampanj av cyberattacker från den Nordkorea-associerade hackergruppen Famous Chollima. Attackerna använder sig av falska jobbannonser, riktade mot kryptovaluta-intresserade.
Gruppen lockar med jobbmöjligheter där man efterfrågar erfarenhet att arbeta med kryptovaluta och där annonserna utger sig från att vara för jobb hos välkända kryptoföretag som exempelvis Coinbase, Archblock och Uniswap. De som utsätts för attacken får en länk till en jobbannons och en inbjudningskod. Sajten där annonsen finns är utformad som en flerstegsprocess där användaren ombeds utföra olika tester och också lämna personlig information.
Som sista steg i processen ombeds man spela in en kort video till intervjuaren, och använda datorns webkamera. När den sökande ska ge sajten tillgång till kameran dyker ett felmeddelande upp, där den sökande ombeds att ”uppdatera sina drivrutiner” – men om man följer instruktionerna laddar man i stället ner en trojan-fil.
Attackerna har spårats sedan sommaren 2024 och riktar in sig både mot Windows- och MacOS-användare. Under maj 2025 upptäcktes en ny variant av trojan-programvaran som bygger på programmeringsspråket Python, vilket tyder på att kampanjen och metodiken fortsätter att vara aktiv och utvecklas.
Utöver att installera skadlig programvara på de sökandes datorer har också Famous Chollima använt de uppgifter som lämnats under ”intervjuprocessen”, och som stulits från kapade enheter, för att skapa falska identiteter. Dessa används i syfte att infiltrera olika företag genom att söka riktiga distansjobb hos dem.
