Северокорейская группировка UNC5342, по данным Google Threat Intelligence Group (GTIG), с февраля 2025 года применяет технику EtherHiding для размещения и доставки вредоносных нагрузок через смарт-контракты в публичных блокчейнах. Кампания, получившая обозначение Contagious Interview, нацелена на кражу криптоактивов и демонстрирует первое зафиксированное использование этой техники «правительственными» актерами.
Что такое EtherHiding и почему это усиливает устойчивость атаки
Техника EtherHiding была описана исследователями Guardio Labs в 2023 году: злоумышленники встраивают пейлоады в смарт-контракты на Binance Smart Chain (сейчас BNB Smart Chain) или Ethereum. Доступ к коду осуществляется по требованию, включая read-only вызовы (например, чтение состояния), которые не оставляют видимой истории транзакций. Это обеспечивает анонимность, устойчивость к блокировкам инфраструктуры и оперативное обновление пейлоадов без традиционных командных серверов.
Тактика UNC5342: фальшивые собеседования и цепочка заражения
Вектор первоначального доступа: тестовые задачи для разработчиков
Атаки стартуют через псевдокомпании BlockNovas LLC, Angeloper Agency и SoftGlide LLC, выдающие себя за нанимателей разработчиков ПО и веб-разработчиков. Жертву убеждают выполнить «тестовое задание», в котором скрыт код, запускающий JavaScript-загрузчик. Такой подход эксплуатирует доверие к процессу найма и привычку разработчиков запускать сторонние скрипты для демонстрации навыков.
Доставка и выполнение пейлоадов: JADESNOW и InvisibleFerret
Смарт-контракт хостит загрузчик JADESNOW, который взаимодействует с Ethereum для получения пейлоада третьей стадии — JavaScript-версии малвари InvisibleFerret, ориентированной на долговременную шпионскую активность. Пейлоад исполняется в памяти, может динамически подгрузить компонент для кражи учетных данных и поддерживает эксфильтрацию файлов на внешний сервер или в Telegram.
GTIG отмечает, что злоумышленники чередуют Ethereum и BNB Smart Chain, усложняя анализ и блокировку. Детали транзакций показывают, что смарт-контракт обновлялся более 20 раз в первые четыре месяца, а средняя плата за газ за каждое обновление составляла около $1,37. Низкая стоимость и частота изменений повышают гибкость кампании и снижают барьер для ротации конфигураций.
Цели и возможный ущерб: от корпоративных секретов до криптокошельков
По оценке GTIG, компонент кражи учетных данных ориентирован на пароли, платежные данные и криптокошельки, в том числе расширения MetaMask и Phantom, а также данные, сохраненные в браузерах Chrome и Edge. Для компаний риски включают компрометацию корпоративных аккаунтов, отток исходного кода и финансовые потери из-за кражи криптоактивов, что особенно критично для команд с доступом к блокчейн-инфраструктуре, DevOps и CI/CD.
Чем опасен «блокчейн-хостинг» для защитников
EtherHiding фактически приближает злоумышленников к «пуленепробиваемому» хостингу: публичные блокчейны труднее «снести» или заблокировать на уровне доменов и IP. Использование read-only вызовов снижает след транзакций, а многоцепочечная стратегия (Ethereum/BNB Smart Chain) уменьшает эффективность традиционных списков блокировок. В таких условиях детекция должна смещаться к поведенческому анализу на хостах и к контролю исходящих соединений.
Рекомендации по снижению рисков
Для соискателей и команд разработки: выполняйте тестовые задания только в изолированных средах (VM/контейнер), без доступа к корпоративным учеткам и криптокошелькам; отключайте или удаляйте расширения кошельков из профилей браузеров, используемых для тестов; проверяйте предоставленные архивы и скрипты в «песочнице» и статическими анализаторами.
Для SOC/Blue Team: применяйте EDR/NGAV с политиками для скриптового поведения (JavaScript/WScript/Node.js); мониторьте обращения к публичным RPC-эндпоинтам Ethereum/BNB (eth_call, чтение данных контракта) из корпоративных браузеров и dev-сред; внедряйте egress filtering и DLP для предотвращения эксфильтрации (включая Telegram API); сегментируйте учетные записи разработчиков и применяйте принцип наименьших привилегий.
Для HR и безопасной найма: стандартизируйте процесс проверки тестовых заданий, предоставляйте внутренние шаблоны задач вместо загрузки внешнего кода, а все сторонние материалы проверяйте через безопасные шлюзы и «песочницы».
Использование EtherHiding северокорейскими группами подчеркивает, как быстро злоумышленники осваивают новые технологические ниши. Комбинация смарт-контрактов, read-only вызовов и многоцепочечного хостинга усложняет трекинг и блокировку кампаний. Организациям и разработчикам стоит усилить гигиену работы с кодом, изолировать тестовые среды и внедрить поведенческую детекцию, ориентируясь на скриптовую активность и аномальные обращения к блокчейн-RPC. Чем раньше будут внедрены эти меры, тем ниже вероятность компрометации учетных данных и кражи криптоактивов.
