Дослідники Kaspersky зафіксували дві нові кампанії групи BlueNoroff — GhostCall і GhostHire, активні з квітня 2025 року. Під ударом перебувають криптовалютні та Web3‑компанії в Індії, Туреччині, Австралії, а також у низці країн Європи та Азії. Актори поєднують цільовий фішинг (spear‑phishing), соціальну інженерію та багатоступеневу доставку шкідливого ПЗ, зосереджуючись на екосистемі macOS.
BlueNoroff і еволюція SnatchCrypto: фокус на розробниках і керівниках
BlueNoroff вважається підрозділом північнокорейського угруповання Lazarus і розвиває відому кампанію SnatchCrypto. За даними Kaspersky, помітний зсув до компрометації розробників і керівників блокчейн‑проєктів. Застосовуються спеціалізовані завантажувачі та модульні бінарні компоненти, спрямовані на крадіжку цифрових активів і доступів до інфраструктури фінтех‑та Web3‑організацій.
Соціальна інженерія: Telegram, підробні Zoom/Teams і «оновлення клієнта»
Початковий контакт здійснюється через Telegram під виглядом венчурних інвесторів; у частині інцидентів використовуються скомпрометовані акаунти реальних підприємців для підвищення довіри. Жертв запрошують на «інвестиційні зустрічі» на сторінках‑імітаціях Zoom або Microsoft Teams. Під час інсценованих дзвінків пропонують «виправити звук» або «оновити клієнт» — натиснення запускає скрипт, який встановлює малварь.
За спостереженнями дослідників, зловмисники показують записані відеовставки попередніх жертв, створюючи ілюзію живої розмови та підвищуючи конверсію атаки. Зібрані через довірені контакти дані потім використовуються для атаки на ланцюг постачання, щоб проникати до партнерів і суміжних організацій.
GhostCall і GhostHire: спільна інфраструктура, різні приманки
GhostCall: «тестові завдання» через GitHub для блокчейн‑розробників
У GhostCall зафіксовано сім багатоступеневих ланцюжків зараження, з яких чотири раніше не описувалися. Основна ціль — блокчейн‑розробники. Актори виступають у ролі «рекрутерів», надсилають «тестове завдання» і змушують завантажити репозиторій на GitHub із прихованим шкідливим кодом, що активується під час запуску або збирання.
GhostHire: фальшиві вакансії, Telegram‑бот і тиск часу
Замість відеодзвінків застосовуються підробні вакансії: кандидат переходить до Telegram‑бота, отримує ZIP‑архів або посилання на GitHub. Використовується штучний дедлайн, аби змусити швидко відкрити файли. На macOS встановлюється малварь для крадіжки криптовалют, секретів, а також облікових даних браузерів і Telegram.
Генеративний ІІ як прискорювач R&D шкідливого ПЗ
За оцінкою Kaspersky GReAT, BlueNoroff активно використовує генеративний штучний інтелект для пришвидшення розробки шкідливих інструментів: впроваджуються нові мови програмування та додаткові функції, що ускладнює статичний і поведінковий аналіз. Це підвищує точність таргетингу, масштабованість кампаній і швидкість зміни тактик після виявлення.
Практичні кроки захисту для крипто- та Web3‑компаній
Перевіряйте контрагентів: підтверджуйте особу «інвестора» чи «рекрутера» по другому каналу (офіційний домен/діловий email). Ігноруйте сторонні посилання на «оновлення клієнтів» для Zoom/Teams.
Контролюйте джерела ПЗ: на macOS застосовуйте MDM/конфіг‑профілі для блокування неподписаних застосунків і дозволяйте встановлення тільки з Apple або офіційного вендорського каналу.
Ізоляція для розробників: виконуйте «тестові» завдання в одноразових середовищах (контейнери, VM), без токенів і гаманців; дотримуйтеся принципу мінімальних привілеїв і використовуйте менеджери секретів.
Моніторинг комунікацій: відстежуйте посилання в Telegram, блокуйте фішингові домени Zoom/Teams, впроваджуйте EDR/XDR з телеметрією macOS і поведінковою аналітикою.
Захищайте облікові записи та активи: апаратні ключі FIDO2 для SSO, сегментація гаманців, MFA, аудит відхилень у доступах і транзакціях.
Кампанії GhostCall і GhostHire демонструють зріле поєднання соціальної інженерії та технічних прийомів проти macOS і криптоіндустрії. З огляду на те, що, за звітом Verizon DBIR, значна частка інцидентів пов’язана з «людським фактором», компаніям варто терміново переглянути процедури верифікації співрозмовників, політики встановлення ПЗ та ізоляцію середовищ для тестових завдань. Раннє впровадження контролю джерел, багаторівневої аутентифікації та поведінкової детекції суттєво знижує ризик компрометації та втрати цифрових активів.
