Блокчейн как оружие: хакеры из КНДР прячут вредоносы в смарт-контрактах

Специалисты Google Threat Intelligence Group (GTIG) зафиксировали, что с февраля 2025 года северокорейская хакерская группировка использует инновационную технику сокрытия вредоносного кода под названием EtherHiding. Это первый подтвержденный случай, когда государственные киберпреступники применяют технологию блокчейн для размещения и управления вредоносными программами.
Блокчейн как оружие: хакеры из КНДР прячут вредоносы в смарт-контрактах
Изображение носит иллюстративный характер

За атаками стоит группа, идентифицированная Google как UNC5342 и связанная с Корейской Народно-Демократической Республикой (КНДР). Эта же структура известна в отчетах других компаний по кибербезопасности под множеством псевдонимов: CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEVPOPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) и Void Dokkaebi (Trend Micro).

Кампания по распространению вредоносного ПО получила кодовое название "Contagious Interview" («Заразное собеседование»). Схема атаки основана на социальной инженерии. Преступники, выдавая себя за рекрутеров или менеджеров по найму, устанавливают первоначальный контакт с потенциальными жертвами в профессиональной сети LinkedIn.

После установления контакта общение переводится в мессенджеры, такие как Telegram или Discord. На следующем этапе жертве предлагают выполнить тестовое задание или пройти оценку профессиональных навыков, под видом которой и поставляется вредоносный код для запуска на компьютере цели.

Суть техники EtherHiding заключается в размещении вредоносного кода непосредственно внутри смарт-контракта на публичном блокчейне. Для этих целей хакеры использовали сети BNB Smart Chain (BSC) и Ethereum. Таким образом, блокчейн превращается в децентрализованный и устойчивый к блокировкам «тайник» (dead drop resolver), откуда вредоносная программа получает инструкции и обновления.

Использование блокчейна предоставляет злоумышленникам три ключевых преимущества. Во-первых, это чрезвычайная устойчивость к попыткам удаления со стороны правоохранительных органов. Во-вторых, псевдонимность транзакций помогает скрывать личность атакующих. В-третьих, хакеры могут в любой момент обновить вредоносную нагрузку в смарт-контракте.

Анализ показал, что стоимость обновления вредоносного кода в смарт-контракте является минимальной. Средняя цена такой операции составляет всего $1,37 в виде комиссий сети (gas fees), что делает метод не только эффективным, но и экономически выгодным для злоумышленников.

Основными целями группировки являются получение несанкционированного доступа к компьютерам разработчиков, кража конфиденциальных данных в рамках кибершпионажа и хищение криптовалютных активов для финансовой выгоды. Эта деятельность полностью соответствует стратегии КНДР, сочетающей кибершпионаж с получением дохода преступным путем.

Роберт Уоллес, руководитель консалтингового направления в Mandiant (Google Cloud), в комментарии для издания The Hacker News подчеркнул серьезность новой угрозы. Он заявил, что данная тактика представляет собой «эскалацию в ландшафте угроз».

По словам Уоллеса, это демонстрирует, что государственные субъекты используют новые, высокоустойчивые методы для распространения вредоносного ПО. Метод позволяет легко модифицировать вредоносные программы для новых кампаний и подчеркивает «непрерывную эволюцию киберугроз», поскольку злоумышленники активно осваивают и адаптируют передовые технологии.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка