PylangGhost 是什么？加密用户为何面临风险？

PylangGhost 是一种新的远程控制木马（RAT），在网络安全界引起了广泛关注。据认为，它是由与朝鲜有关的黑客组织Famous Chollima 开发的。这款基于Python 的恶意软件专门攻击Windows 系统，目标主要是加密货币和区块链行业的用户。凭借隐藏性强和高度针对性的社交工程手法，PylangGhost 代表了针对加密行业的网络攻击新趋势。

PylangGhost 是什么，它是怎么运作的？

PylangGhost 是一种基于Python 的远程控制木马，攻击者可通过它远程操控被感染的电脑。它可以窃取数据、执行命令，以及上传或下载文件。该恶意软件由六个模块组成，因此可以根据需要灵活扩展功能。

攻击者是如何传播PylangGhost 的？

攻击者通常通过假工作机会来传播这款恶意软件。他们冒充知名加密公司的招聘人员，通过虚假的面试过程引诱受害者安装恶意文件。例如，他们会要求受害者安装所谓的视频驱动程序，或运行一个名为“nvidia.py” 的Python 脚本，而实际上这是启动木马程序的工具。

谁是PylangGhost 的攻击目标？

主要目标是有加密货币和区块链背景的开发者、工程师等专业人士。目前已知的大多数受害者来自印度，该恶意软件专门攻击Windows 用户，而它的Golang 版本则针对macOS 系统。

PylangGhost 主要窃取什么数据？

它的主要目的在于窃取用户凭证。PylangGhost 能提取来自密码管理器（如1Password）的登录数据，还能读取浏览器扩展和加密钱包中的信息，比如Metamask 和Phantom。它可以访问80 多种浏览器插件，并具备抓取会话cookie 和机密文件的能力。

有哪些新动向？

Cisco Talos 于2025 年5 月首次披露了PylangGhost。随后，这一攻击活动进一步升级，手法也更为精细，包括伪装成Zoom 音频面试、甚至使用伪造的高管面试视频。这些行为与朝鲜其他网络攻击组织（如BlueNoroff）的手法非常相似。

用户该如何保护自己？

要保持安全，可采取以下措施：

对来自不明来源的加密行业工作邀请保持警惕

面试过程中不要安装任何陌生软件

使用强大的终端防护工具和行为监测软件

定期更新操作系统和浏览器

核实招聘人员身份和招聘平台的真实性

结语

PylangGhost 不只是又一个普通的恶意软件，它是针对加密经济领域的精准攻击工具，结合心理诱导和技术手段来实施攻击。虽然目前它的传播范围还不算广，但其背后的高技术含量预示着未来对数字金融的威胁会越来越复杂。保持警觉并提高安全意识，是每个用户保护自己的第一步。