Северокорейские хакерские группы, включая Famous Chollima и UNC5342, применяют технологию блокчейна для размещения вредоносных нагрузок в смарт-контрактах, что позволяет создавать децентрализованные системы командования и управления. Это первый задокументированный случай использования метода EtherHiding государственными акторами, при котором злоумышленники маскируют вредоносный код в публичных блокчейнах, таких как BNB Smart Chain и Ethereum, начиная с февраля 2025 года.
Атаки нацелены на соискателей работы через поддельные процессы собеседований, где жертвам предлагается загрузить файлы, содержащие malware. Используются обновленные версии вредоносных программ BeaverTail и OtterCookie, которые объединяют функции кейлоггинга и снятия скриншотов, а также модули JADESNOW и INVISIBLEFERRET для кражи учетных данных и криптовалюты. Распространение происходит через пакеты в официальных репозиториях, например, node-nvm-ssh в NPM, замаскированный под шахматное приложение Chessfi.
По данным Cisco Talos и Google Threat Intelligence Group, северокорейские хакеры похитили более $1,3 млрд в 2024 году и $2,2 млрд за первую половину 2025 года, используя украденные средства для финансирования программ вооружения. Техника EtherHiding обеспечивает устойчивость атак, так как данные в блокчейне невозможно удалить, а злоумышленники могут удаленно обновлять вредоносные нагрузки, затрачивая в среднем $1,37 на комиссии за обновление смарт-контракта.
Кампания «Contagious Interview» включает создание фальшивых компаний, таких как Blocknovas и Softglide, с использованием поддельных идентификаций для прикрытия. Эксперты, включая основателя Binance Чанпэна Чжао, предупреждают о растущей угрозе, отмечая, что хакеры также внедряются в криптокомпании под видом сотрудников, что приводит к утечкам данных и миллиардным потерям.
BTC
BANK
MET
USDC
EURC