北朝鮮ハッカーが偽求人で暗号資産企業を標的に　Python製マルウェアで将来の従業員経由侵入を狙う

現地時間2025年6月18日、米セキュリティ企業のシスコ・タロスは、北朝鮮系ハッカー集団が偽の求人応募書類を装い、マルウェアを用いて暗号資産関連企業への侵入を試みていると発表した。
狙いは、将来企業に入社する可能性のある個人を踏み台にした、内部アクセスの確保だという。

偽の採用試験でマルウェア感染　Python製RATで情報窃取と遠隔操作

シスコ・タロスの発表によれば、北朝鮮と関係のあるハッカー集団は、ソフトウェアエンジニアやマーケターらに「スキルテスト」を受けさせ、マルウェア「PylangGhost」を仕込むという手口を用いているという。
コインベースやユニスワップなどの大手暗号資産企業を装った偽の求人サイトを用いて、マルウェアを拡散させている。

このマルウェアは、過去に報告された「GolangGhost」の亜種であり、Windows環境への感染を狙ってPythonで書き直されている。
一方、Macでは依然としてGolang版が機能しており、Linuxは現時点で影響を受けていないとされる。

被害者の多くはインド在住で、ブロックチェーン業界での実務経験を持つとみられる。
攻撃者は、偽のスキルテストを通じて被害者にターミナルコマンドを入力させ、ZIPファイルに偽装されたPython実行ファイルを実行させる。
このファイルは「nvidia.py」と名付けられ、Visual Basicスクリプトや永続化、情報収集、リモートアクセスなど6つのモジュールを含む。

「PylangGhost」は80以上のブラウザ拡張機能を標的とし、MetaMaskや1Passwordなどからログイン情報やウォレットデータを窃取可能である。
また、RC4暗号化HTTP通信（※）を用いて遠隔操作を実現し、感染端末の完全制御も可能だという。

※RC4暗号化HTTP通信：HTTP上で行われるデータ転送のうち、RC4と呼ばれるストリーム暗号方式で内容が暗号化されているもの。RC4は古く、脆弱性が知られているため現在では非推奨。

暗号資産業界に潜む「人材経由リスク」　今後の防御体制が課題に

この攻撃の異例な点は、標的が「将来的に企業に入社する人材」である点にある。
従来の企業インフラへの直接攻撃とは異なり、まだ採用されていない人材を介して企業内部への侵入経路を確保するという、新たなサプライチェーン攻撃モデルが浮かび上がった。

この手法の背景には、暗号資産業界におけるグローバルな人材獲得競争と、リモートワークの普及によるセキュリティ境界の曖昧化がある。
特にスタートアップ企業では、入社前後の個人端末管理が緩く、攻撃者にとって格好の隙となっている。

企業側にとってこの一件は「潜在リスクの可視化」につながる。
採用段階でのセキュリティチェックや、スキルテスト環境の分離といった対策が急務だ。

一方で、現状では偽装が極めて巧妙で、求職者個人が攻撃を見抜くのは困難である。
業界全体での警戒情報の共有や、信頼できる採用フローの整備が不可欠となるだろう。