Nordkoreansk hackingkampanj utnyttjar falska kryptovaluta-jobb

Cisco Talos har identifierat en cyberattackkampanj kopplad till den nordkoreanska hackergruppen Famous Chollima. Denna kampanj använder falska jobbannonser för att lura kryptovalutaentusiaster.

Gruppen marknadsför sig genom att erbjuda jobbmöjligheter inom kryptovaluta, med annonser som påstår sig vara från kända företag som Coinbase, Archblock och Uniswap. De som drabbas får en länk till en jobbannons tillsammans med en inbjudningskod.

Sidan är designad som en flerstegsprocess där användaren uppmanas att genomföra tester och lämna personlig information. Som sista steg ombeds den sökande spela in en kort video till intervjuaren, vilket kräver tillgång till datorns webbkamera.

När användaren ger sajten kameratillgång dyker ett felmeddelande upp som ber den sökande att ”uppdatera sina drivrutiner”. Om man följer instruktionerna laddar man istället ner en trojan.

Denna typ av attack har observerats sedan sommaren 2024 och riktar sig mot både Windows- och MacOS-användare. I maj 2025 upptäcktes en ny trojanvariant byggd på programmeringsspråket Python, vilket indikerar att kampanjen fortsätter att utvecklas.

Förutom att installera skadlig programvara på offrets datorer, har Famous Chollima även använt de uppgifter som samlats in under ”intervjuprocessen” för att skapa falska identiteter. Dessa identiteter används för att infiltrera företag genom att ansöka om riktiga distansjobb.