КНДР использует блокчейн для распространения вредоносного ПО

/ ТехнологииНовости / Технологии

Хакерская группа, спонсируемая Северной Кореей, теперь использует публичные блокчейны для размещения вредоносных нагрузок, согласно новому исследованию от Threat Intelligence Group (GTIG) Google. Эта кампания, использующая технику под названием «EtherHiding», является первым задокументированным случаем, когда государственный актор применяет доставку вредоносного ПО через смарт-контракты для уклонения от обнаружения и срыва процедур удаления.

Google приписывает эту активность группе UNC5342, которую связывает с длительной операцией «Contagious Interview», нацеленной на разработчиков и профессионалов в сфере криптовалют. Впервые замеченная в использовании EtherHiding в феврале 2025 года, последняя версия инструментария UNC5342 включает загрузчик JavaScript под названием JADESNOW, который извлекает и выполняет бэкдор INVISIBLEFERRET непосредственно из данных, хранящихся в смарт-контрактах BNB Smart Chain и Ethereum.

Механизм доставки вредоносной нагрузки группы основан на вызовах блокчейна только для чтения. Эти запросы не создают новых транзакций и не оставляют видимых следов в инструментах анализа блокчейна, а поскольку сами контракты неизменяемы, защитники не могут удалить встроенные скрипты.

На практике эта техника позволяет злоумышленникам обновлять или заменять вредоносные нагрузки, перезаписывая переменные хранения контрактов в цепочке, без необходимости повторного взлома сайтов распространения или клиентов. Хотя финансово мотивированные акторы ранее использовали эту инфраструктуру, Google заявляет, что это первый случай, когда спонсируемая государством группа включила эту технику в свой операционный инструментарий.

Отчет Google связывает блокчейн-инфраструктуру с реальными заражениями, осуществляемыми через скомпрометированные сайты на WordPress и методы социальной инженерии, включая поддельные собеседования о работе, предназначенные для приманки крипто-разработчиков. Жертвы, попадающие на эти сайты, получают загрузчик JADESNOW, который затем обращается к ончейн-смарт-контрактам, извлекает JavaScript-нагрузку и запускает её локально. Эта нагрузка, в свою очередь, запускает INVISIBLEFERRET — многофункциональный бэкдор с удаленным управлением, который обеспечивает долгосрочный шпионаж и кражу данных.

Хотя Google не уточняет, как именно извлекались данные смарт-контрактов, предыдущие исследования EtherHiding показали, что злоумышленники часто полагаются на стандартные вызовы JSON-RPC, которые могут проходить через публичную или размещенную инфраструктуру. Блокировка этих сервисов или принуждение клиентов к использованию самостоятельно размещенных узлов с политиками ограничений может предложить временное сдерживание. Со стороны браузера организации могут применять строгие политики выполнения расширений и скриптов и блокировать рабочие процессы обновления, чтобы предотвратить распространение поддельных оповещений в стиле Chrome.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии