Новая схема обходит любую защиту и делает кражу криптовалюты практически неотслеживаемой.
Северокорейская группа, связанная с КНДР, впервые EtherHiding — способ прятать внутри смарт-контрактов публичных блокчейнов и менять полезные нагрузки на лету. По данным Google Threat Intelligence Group, к приёму перешла группировка UNC5342, известная также как CL-STA-0240 у Palo Alto Networks, DeceptiveDevelopment у ESET и DEVPOPPER у Securonix.
Векторы атаки укладываются в рамки давней кампании — злоумышленники выходят на через LinkedIn, представляются рекрутёрами, переводят общение в Telegram или Discord и под видом тестового задания заставляют запустить вредоносный код. Цель — несанкционированный доступ к рабочим станциям, хищение данных и криптоактивов.
Google отмечает использование EtherHiding с февраля 2025 года. Код внедряется в на BNB Smart Chain или Ethereum, а сама цепочка выступает в роли децентрализованного «dead drop» — инфраструктуры, устойчивой к сносам и блокировкам. Псевдонимность транзакций осложняет атрибуцию развёртывания контракта, а управляющий адрес может обновлять полезную нагрузку в любой момент — средняя комиссия за газ около 1,37 доллара — что позволяет быстро менять тактики и наборы вредоносных модулей. В Mandiant подчёркивают, что подключение государственными операторами таких механизмов повышает живучесть кампаний и ускоряет их адаптацию под новые цели.
Заражению предшествует обман в мессенджерах — дальше цепочка разворачивается поэтапно, затрагивая как компьютеры на Windows, так и macOS с Linux. Сначала запускается первичный загрузчик, замаскированный под npm-пакет. Затем подключается BeaverTail — JavaScript-стилер, который вытягивает данные , содержимое браузерных расширений и сохранённые учётки. Следом идёт JADESNOW — ещё один JS-загрузчик, он обращается к Ethereum, чтобы получить InvisibleFerret. InvisibleFerret — это JavaScript-порт ранее замеченного Python-бэкдора: он даёт удалённое управление машиной и организует длительное извлечение информации, в том числе из MetaMask и Phantom, а также из менеджеров паролей вроде 1Password.
Дополнительно хакеры пробуют подтянуть переносимый интерпретатор Python и через него запустить отдельный модуль для кражи учётных данных, хранящийся по другому адресу в сети Ethereum. Иногда используются сразу разные блокчейны — это повышает живучесть канала доставки и осложняет ответные меры.
Такой подход повышает устойчивость к блокировкам и правоприменительным мерам, затрудняет разбор экземпляров и требует от защитных команд мониторинга не только доменов и хостингов, но и ссылочной логики смарт-контрактов, адресов и характерных вызовов к провайдерам RPC. Для разработчиков, которых атакующие целенаправленно выбирают на LinkedIn, риски особенно высоки — у них чаще встречаются кошельки, доступ к репозиториям и инфраструктуре сборки, а также установленный инструментарий, удобный для цепочек поставок.
Атака демонстрирует явный сдвиг к использованию возможностей не по назначению — как распределённой инфраструктуры управления вредоносами. Командам защиты стоит учитывать транзакционные шаблоны, наблюдать за вызовами к смарт-контрактам и закладывать в охранную аналитику индикаторы, связанные с адресами и методами взаимодействия с BSC и Ethereum, иначе выявить и пресечь подобные цепочки будет всё сложнее.
Подробнее:
Северокорейская группа, связанная с КНДР, впервые EtherHiding — способ прятать внутри смарт-контрактов публичных блокчейнов и менять полезные нагрузки на лету. По данным Google Threat Intelligence Group, к приёму перешла группировка UNC5342, известная также как CL-STA-0240 у Palo Alto Networks, DeceptiveDevelopment у ESET и DEVPOPPER у Securonix.
Векторы атаки укладываются в рамки давней кампании — злоумышленники выходят на через LinkedIn, представляются рекрутёрами, переводят общение в Telegram или Discord и под видом тестового задания заставляют запустить вредоносный код. Цель — несанкционированный доступ к рабочим станциям, хищение данных и криптоактивов.
Google отмечает использование EtherHiding с февраля 2025 года. Код внедряется в на BNB Smart Chain или Ethereum, а сама цепочка выступает в роли децентрализованного «dead drop» — инфраструктуры, устойчивой к сносам и блокировкам. Псевдонимность транзакций осложняет атрибуцию развёртывания контракта, а управляющий адрес может обновлять полезную нагрузку в любой момент — средняя комиссия за газ около 1,37 доллара — что позволяет быстро менять тактики и наборы вредоносных модулей. В Mandiant подчёркивают, что подключение государственными операторами таких механизмов повышает живучесть кампаний и ускоряет их адаптацию под новые цели.
Заражению предшествует обман в мессенджерах — дальше цепочка разворачивается поэтапно, затрагивая как компьютеры на Windows, так и macOS с Linux. Сначала запускается первичный загрузчик, замаскированный под npm-пакет. Затем подключается BeaverTail — JavaScript-стилер, который вытягивает данные , содержимое браузерных расширений и сохранённые учётки. Следом идёт JADESNOW — ещё один JS-загрузчик, он обращается к Ethereum, чтобы получить InvisibleFerret. InvisibleFerret — это JavaScript-порт ранее замеченного Python-бэкдора: он даёт удалённое управление машиной и организует длительное извлечение информации, в том числе из MetaMask и Phantom, а также из менеджеров паролей вроде 1Password.
Дополнительно хакеры пробуют подтянуть переносимый интерпретатор Python и через него запустить отдельный модуль для кражи учётных данных, хранящийся по другому адресу в сети Ethereum. Иногда используются сразу разные блокчейны — это повышает живучесть канала доставки и осложняет ответные меры.
Такой подход повышает устойчивость к блокировкам и правоприменительным мерам, затрудняет разбор экземпляров и требует от защитных команд мониторинга не только доменов и хостингов, но и ссылочной логики смарт-контрактов, адресов и характерных вызовов к провайдерам RPC. Для разработчиков, которых атакующие целенаправленно выбирают на LinkedIn, риски особенно высоки — у них чаще встречаются кошельки, доступ к репозиториям и инфраструктуре сборки, а также установленный инструментарий, удобный для цепочек поставок.
Атака демонстрирует явный сдвиг к использованию возможностей не по назначению — как распределённой инфраструктуры управления вредоносами. Командам защиты стоит учитывать транзакционные шаблоны, наблюдать за вызовами к смарт-контрактам и закладывать в охранную аналитику индикаторы, связанные с адресами и методами взаимодействия с BSC и Ethereum, иначе выявить и пресечь подобные цепочки будет всё сложнее.
Подробнее:
