Хакеры из Северной Кореи встроили троян в блокчейн — удалить его невозможно, даже зная точное местоположение.

Хакеры из Северной Кореи спрятали троян внутри смарт-контрактов — и удалить его невозможно, даже если известно, где он находится.

Новая схема обходит любые барьеры и делает кражи криптовалют почти неотслеживаемыми.

Группа, связанная с Пхеньяном, начала применять метод EtherHiding — скрытие вредоносного кода внутри публичных смарт-контрактов с возможностью динамической замены полезной нагрузки. По сведениям Google Threat Intelligence Group, за приём взялась группировка UNC5342 (также отмечаемая как CL-STA-0240 у Palo Alto Networks, DeceptiveDevelopment у ESET и DEVPOPPER у Securonix).

Атакующие продолжают использовать старую схему из кампании Contagious Interview: через LinkedIn они выходят на разработчиков под видом рекрутеров, переводят переписку в Telegram или Discord и под предлогом тестового задания заставляют запустить вредоносный код. Цель — получить неавторизованный доступ к рабочим машинам, украсть данные и криптоактивы.

Google фиксирует использование EtherHiding с февраля 2025 года. Зловред внедряется в контракт на BNB Smart Chain или Ethereum, а сама сеть становится децентрализованным «мертвым ящиком» — инфраструктурой, которую сложно вывести из строя или заблокировать. Анонимность транзакций усложняет установление факта развёртывания, а управляющий адрес способен в любой момент обновить полезную нагрузку — при средней комиссии за газ около $1,37 это даёт возможность быстро менять набор модулей и тактику. Mandiant предупреждает, что использование таких механизмов государственными операторами повышает живучесть кампаний и ускоряет их адаптацию к новым целям.

Атака начинается с социальной инженерии в мессенджерах: после фазы обмана цепочка разворачивается поэтапно и затрагивает Windows, macOS и Linux. Сначала загружается первичный загрузчик, маскируемый под npm-пакет. Затем подключается BeaverTail — JavaScript-стилер, собирающий данные кошельков, содержимое браузерных расширений и сохранённые учётные записи. Далее идёт JADESNOW — ещё один JS-загрузчик, который обращается к Ethereum, чтобы загрузить InvisibleFerret. InvisibleFerret — JavaScript-реализация ранее замеченного Python-бэкдора: она предоставляет удалённый контроль над машиной и длительно эксфильтрирует данные, включая содержимое MetaMask, Phantom и менеджеров паролей вроде 1Password.

Иногда злоумышленники подтягивают переносимый интерпретатор Python и через него запускают отдельный модуль для кражи учётных данных, размещённый по другому адресу в сети Ethereum. В ряде случаев используются сразу несколько блокчейнов — это повышает надёжность канала доставки и затрудняет противодействие.

Такая методика делает кампании более устойчивыми к блокировкам и правоприменению, усложняет анализ экземпляров и требует от команд безопасности отслеживать не только домены и хостинги, но и логику ссылок в смарт-контрактах, адреса и характерные вызовы к RPC-провайдерам. Разработчики, на которых охотятся через LinkedIn, особенно уязвимы — у них чаще есть кошельки, доступ к репозиториям и инфраструктуре сборки, а также установленный инструментарий, который облегчает проведение атак через цепочки поставок.

В итоге виден очевидный сдвиг — злоумышленники всё активнее используют блокчейн не только по прямому назначению, но и как распределённую инфраструктуру для управления вредоносными кампаниями. Командам защиты рекомендуется мониторить транзакционные паттерны, отслеживать вызовы к смарт-контрактам и включать индикаторы, связанные с адресами и методами взаимодействия с BSC и Ethereum, иначе такие цепочки будет всё сложнее обнаружить и пресечь.