Группа Slow Pisces, связанная с Северной Кореей и известная также под именами Jade Sleet, PUKCHONG, TraderTraitor и UNC4899, стоит за крупной атакой на биржу Bybit, произошедшей в феврале 2025 года. По данным Palo Alto Networks Unit 42, эта хакерская группа запустила новую кампанию против разработчиков в криптовалютной индустрии, используя тщательно замаскированные вредоносные программы.
Основная тактика Slow Pisces построена на социальной инженерии. Злоумышленники находят специалистов на LinkedIn, выдавая себя за потенциальных работодателей, и предлагают пройти так называемое «кодинговое испытание». На самом деле, под видом тестового задания жертве отправляется вредоносный проект, чаще всего размещённый на GitHub. При запуске такой программы разработчик заражает свой компьютер двумя ключевыми компонентами — RN Loader и RN Stealer.
История атак Slow Pisces уходит по меньшей мере к июлю 2023 года, когда сотрудники GitHub сообщили о попытках взлома специалистов из блокчейн-компаний, криптовалютных бирж, онлайн-гемблинга и кибербезопасности. Тогда злоумышленники рассылали PDF-файлы с подробностями «задания» и побуждали открыть npm-пакеты, содержащие вредоносный код.
Технически атака реализуется через скачивание жертвой троянского Python-проекта с GitHub, который якобы позволяет просматривать курсы криптовалют. На деле программа связывается с удалённым сервером и, если выполняются определённые условия, загружает вторую стадию вредоносного ПО. По словам старшего директора по киберразведке Palo Alto Networks, Энди Пиацца, «до взлома Bybit подробной осведомлённости об этой группе почти не было, что объясняет их неизменную тактику». Группа регулярно совершенствует меры операционной безопасности: меняет способы маскировки, усложняет логику запуска вредоносного кода и отдаёт полезную нагрузку только при совпадении уникальных атрибутов жертвы.
Slow Pisces избегает массовых фишинговых рассылок, делая ставку на точечное взаимодействие через LinkedIn. Для скрытного запуска вредоносного кода используется YAML-десериализация — это позволяет обходить подозрительные вызовы eval и exec. После заражения RN Loader отправляет на сервер технические данные о системе (тип устройства и ОС) через HTTPS и получает следующий фрагмент вредоносного кода в виде закодированной строки Base64.
Вторая стадия — RN Stealer — нацелена на macOS. Она собирает полные метаданные системы, список установленных приложений, структуру домашних директорий, содержимое iCloud Keychain, SSH-ключи, а также конфигурационные файлы AWS, Kubernetes и Google Cloud. Полученная информация помогает злоумышленникам оценить, есть ли смысл продолжать атаку на этого пользователя.
Похожие методы применялись и для атак на фронтенд-разработчиков. Кандидатам на вакансии JavaScript-программистов предлагали скачать проект «Cryptocurrency Dashboard» с GitHub. В этом случае для скрытого исполнения кода использовался механизм шаблонов Embedded JavaScript (EJS) и функция ejs.render(), а вредоносная нагрузка отдавала сервер управления только тщательно отобранным жертвам.
Jade Sleet — лишь одна из нескольких северокорейских групп, использующих «трудоустройство» как приманку. Аналогичные кампании известны под названиями Operation Dream Job, Contagious Interview, Alluring Pisces и Moonstone Sleet. Все они используют похожие схемы, но не пересекаются в операциях и инфраструктуре.
Причина внимания к разработчикам очевидна: они обладают доступом к критически важной инфраструктуре, включая средства для кражи криптоактивов. По оценкам специалистов, Slow Pisces действует точечно — число атак невелико, но каждая из них нацелена на жертву с высоким уровнем доступа.
Отличительная черта Slow Pisces — высочайший уровень операционной безопасности. Все вредоносные модули загружаются строго поэтапно, чаще всего только в оперативную память. Более продвинутые инструменты применяются только тогда, когда злоумышленники убеждаются в ценности жертвы.
Используемые в атаках технологии включают Python и npm-проекты, YAML-десериализацию, EJS-шаблоны, сложную проверку атрибутов жертвы и передачу данных через защищённые каналы. В числе целей — не только macOS, но и облачные платформы AWS, Kubernetes, Google Cloud.
Эксперты подчеркивают: несмотря на схожесть начальных этапов с другими северокорейскими группами, Slow Pisces работает полностью обособленно, что затрудняет обнаружение и противодействие их атакам.
Изображение носит иллюстративный характер
Основная тактика Slow Pisces построена на социальной инженерии. Злоумышленники находят специалистов на LinkedIn, выдавая себя за потенциальных работодателей, и предлагают пройти так называемое «кодинговое испытание». На самом деле, под видом тестового задания жертве отправляется вредоносный проект, чаще всего размещённый на GitHub. При запуске такой программы разработчик заражает свой компьютер двумя ключевыми компонентами — RN Loader и RN Stealer.
История атак Slow Pisces уходит по меньшей мере к июлю 2023 года, когда сотрудники GitHub сообщили о попытках взлома специалистов из блокчейн-компаний, криптовалютных бирж, онлайн-гемблинга и кибербезопасности. Тогда злоумышленники рассылали PDF-файлы с подробностями «задания» и побуждали открыть npm-пакеты, содержащие вредоносный код.
Технически атака реализуется через скачивание жертвой троянского Python-проекта с GitHub, который якобы позволяет просматривать курсы криптовалют. На деле программа связывается с удалённым сервером и, если выполняются определённые условия, загружает вторую стадию вредоносного ПО. По словам старшего директора по киберразведке Palo Alto Networks, Энди Пиацца, «до взлома Bybit подробной осведомлённости об этой группе почти не было, что объясняет их неизменную тактику». Группа регулярно совершенствует меры операционной безопасности: меняет способы маскировки, усложняет логику запуска вредоносного кода и отдаёт полезную нагрузку только при совпадении уникальных атрибутов жертвы.
Slow Pisces избегает массовых фишинговых рассылок, делая ставку на точечное взаимодействие через LinkedIn. Для скрытного запуска вредоносного кода используется YAML-десериализация — это позволяет обходить подозрительные вызовы eval и exec. После заражения RN Loader отправляет на сервер технические данные о системе (тип устройства и ОС) через HTTPS и получает следующий фрагмент вредоносного кода в виде закодированной строки Base64.
Вторая стадия — RN Stealer — нацелена на macOS. Она собирает полные метаданные системы, список установленных приложений, структуру домашних директорий, содержимое iCloud Keychain, SSH-ключи, а также конфигурационные файлы AWS, Kubernetes и Google Cloud. Полученная информация помогает злоумышленникам оценить, есть ли смысл продолжать атаку на этого пользователя.
Похожие методы применялись и для атак на фронтенд-разработчиков. Кандидатам на вакансии JavaScript-программистов предлагали скачать проект «Cryptocurrency Dashboard» с GitHub. В этом случае для скрытого исполнения кода использовался механизм шаблонов Embedded JavaScript (EJS) и функция ejs.render(), а вредоносная нагрузка отдавала сервер управления только тщательно отобранным жертвам.
Jade Sleet — лишь одна из нескольких северокорейских групп, использующих «трудоустройство» как приманку. Аналогичные кампании известны под названиями Operation Dream Job, Contagious Interview, Alluring Pisces и Moonstone Sleet. Все они используют похожие схемы, но не пересекаются в операциях и инфраструктуре.
Причина внимания к разработчикам очевидна: они обладают доступом к критически важной инфраструктуре, включая средства для кражи криптоактивов. По оценкам специалистов, Slow Pisces действует точечно — число атак невелико, но каждая из них нацелена на жертву с высоким уровнем доступа.
Отличительная черта Slow Pisces — высочайший уровень операционной безопасности. Все вредоносные модули загружаются строго поэтапно, чаще всего только в оперативную память. Более продвинутые инструменты применяются только тогда, когда злоумышленники убеждаются в ценности жертвы.
Используемые в атаках технологии включают Python и npm-проекты, YAML-десериализацию, EJS-шаблоны, сложную проверку атрибутов жертвы и передачу данных через защищённые каналы. В числе целей — не только macOS, но и облачные платформы AWS, Kubernetes, Google Cloud.
Эксперты подчеркивают: несмотря на схожесть начальных этапов с другими северокорейскими группами, Slow Pisces работает полностью обособленно, что затрудняет обнаружение и противодействие их атакам.
