Северокорейские хакеры прячут вредоносный код в блокчейне: Шокирующее разоблачение Google

Группа анализа угроз Google выявила новую тактику северокорейских хакеров, связанных с КНДР, по использованию публичных блокчейн-сетей для распространения вредоносного программного обеспечения. Метод, известный как EtherHiding, позволяет злоумышленникам скрывать вредоносный код в смарт-контрактах, что делает его крайне труднообнаруживаемым. Эта техника активно сочетается с методами социальной инженерии, направленными на кражу криптовалютных активов и конфиденциальной информации у разработчиков и специалистов в сфере криптовалют.

Техника EtherHiding: Как работает скрытый взлом

Метод EtherHiding впервые был зафиксирован в 2023 году и с тех пор значительно эволюционировал. Хакеры, в частности группа UNC5342, взламывают легитимные веб-сайты и внедряют в них скрипты JavaScript. Эти скрипты взаимодействуют со специально подготовленными смарт-контрактами в блокчейн-сетях, таких как BNB Smart Chain и Ethereum, где хранится вредоносный код.

Ключевой особенностью техники является использование функций "только для чтения", которые не создают транзакций в блокчейн-реестре. Такой подход позволяет злоумышленникам полностью избежать обнаружения системами мониторинга и минимизировать затраты на комиссии за транзакции. При посещении скомпрометированного сайта жертвы автоматически активируется вредоносный код, который крадет криптовалютные средства и конфиденциальные данные.

Многоэтапная кампания социальной инженерии

Северокорейские хакеры разрабатывают сложные схемы социальной инженерии, создавая поддельные компании, рекрутинговые агентства и фальшивые профили в профессиональных сетях. Основными целями становятся разработчики программного обеспечения и специалисты по блокчейн-технологиям.

Злоумышленники рассылают предложения о высокооплачиваемой работе или приглашения на престижные интервью, переводя общение в мессенджеры Discord и Telegram. На этапе так называемой "технической оценки" жертвам предлагают выполнить тестовое задание или скачать файлы с популярных репозиториев, таких как GitHub. Эти файлы содержат вредоносную нагрузку.

В других случаях хакеры организуют видеозвонки, где жертве демонстрируют поддельное сообщение об ошибке с предложением загрузить "исправление". Установленное вредоносное ПО запускает многоэтапную атаку: второй этап под названием JADESNOW крадет данные, а третий обеспечивает злоумышленникам долгосрочный доступ к устройству жертвы и подключенным к нему сетям.

Угроза для криптоиндустрии и меры предосторожности

EtherHiding представляет особую опасность для криптовалютного сообщества, поскольку использует фундаментальные свойства блокчейна — неизменяемость и децентрализацию — в качестве платформы для хранения и распространения вредоносного кода. Смарт-контракты фактически превращаются в "пуленепробиваемые" серверы команд и контроля.

Google Threat Intelligence Group подчеркивает необходимость повышенной бдительности со стороны криптоиндустрии. Рекомендуется тщательно проверять источники предложений о работе, избегать загрузки файлов из непроверенных источников и использовать современные инструменты кибербезопасности. Организациям следует внедрять многофакторную аутентификацию и проводить регулярное обучение сотрудников распознаванию фишинговых атак.

Выводы и перспективы

Открытие Google демонстрирует новый уровень sophistication кибератак со стороны государственных акторов. EtherHiding не только усложняет обнаружение вредоносного ПО, но и создает прецедент использования блокчейн-технологий в криминальных целях. Криптосообществу предстоит разработать новые методы защиты от подобных угроз, включая улучшенный мониторинг смарт-контрактов и анализ подозрительных взаимодействий с блокчейн-сетями.