Північнокорейська угруповання UNC5342, за даними Google Threat Intelligence Group (GTIG), від лютого 2025 року використовує техніку EtherHiding для розміщення та доставки шкідливих навантажень через смарт‑контракти у публічних блокчейнах. Кампанія отримала назву Contagious Interview і сфокусована на крадіжці криптоактивів, ставши першим зафіксованим випадком застосування цієї техніки державним актором.
EtherHiding: як працює «невидимий» хостинг на блокчейні
Описана Guardio Labs у 2023 році техніка EtherHiding передбачає вбудовування пейлоадів у смарт‑контракти на Ethereum та BNB Smart Chain. Доступ до коду відбувається через read‑only виклики (наприклад, eth_call), які не залишають видимої історії транзакцій. Це робить інфраструктуру атаки стійкою до блокувань і дозволяє швидко оновлювати конфігурації без класичних C2‑серверів.
За спостереженнями GTIG, за перші чотири місяці кампанії відповідний смарт‑контракт оновлювали понад 20 разів, а середня плата за газ становила близько $1,37 за апдейт. Низька вартість і часта ротація підвищують живучість ланцюжка доставки та ускладнюють статичне блокування.
Тактика UNC5342: фальшивий найм, тестові завдання і скриптова інфекція
Початковий доступ: підставні «роботодавці» і завдання для розробників
Зловмисники діють від імені псевдокомпаній BlockNovas LLC, Angeloper Agency та SoftGlide LLC, пропонуючи кандидатам виконати «тестове завдання». Усередині матеріалів приховано код, що запускає JavaScript‑завантажувач. Такий прийом експлуатує довіру до процесу найму і звичку інженерів запускати сторонні скрипти для демонстрації навичок.
Ланцюжок виконання: JADESNOW та InvisibleFerret
Смарт‑контракт хостить завантажувач JADESNOW, який звертається до Ethereum або BNB Smart Chain для отримання пейлоада третьої стадії — JavaScript‑версії малварі InvisibleFerret. Пейлоад виконується в пам’яті, підтримує динамічне підвантаження credential stealer і ексфільтрацію файлів на зовнішній сервер або в Telegram. GTIG фіксує чергування ланцюгів (Ethereum/BNB), що ускладнює аналіз і блокування на мережевому рівні.
Цілі атак і потенційні втрати для бізнесу
За оцінкою GTIG, компонент викрадення даних націлено на паролі, платіжні дані і криптогаманці, зокрема розширення MetaMask і Phantom, а також інформацію, збережену в Chrome та Edge. Для організацій ризики включають компрометацію облікових записів, витік вихідного коду і фінансові збитки через крадіжку криптоактивів — особливо у командах з доступом до блокчейн‑інфраструктури, DevOps і CI/CD.
Чому «блокчейн‑хостинг» ускладнює оборону
Публічні блокчейни виступають майже як «куленепробивний» хостинг: неможливо просто відключити домен чи IP, а read‑only виклики мінімізують слід на ланцюгу. Мультичейн‑підхід знижує ефективність списків блокувань, тому фокус детекції має зміщуватися до поведінкового аналізу на хості і контролю вихідних з’єднань.
Практичні рекомендації: розробникам, SOC і HR
Кандидатам і інженерам: виконуйте тестові завдання лише в ізольованих середовищах (VM/контейнер) без доступу до корпоративних обліковок і гаманців; тимчасово відключайте або видаляйте wallet‑розширення у профілях браузерів, де запускаєте код; перевіряйте архіви і скрипти в «пісочниці» та статичними аналізаторами.
SOC/Blue Team: застосовуйте EDR/NGAV з правилами для скриптової активності (JavaScript/WScript/Node.js); моніторте звернення до публічних RPC‑ендпоінтів Ethereum/BNB (включно з eth_call) з корпоративних браузерів і dev‑серед; впроваджуйте egress‑фільтрацію і DLP для запобігання ексфільтрації (у т.ч. через Telegram API); сегментуйте облікові записи розробників і дотримуйтеся принципу найменших привілеїв.
HR і процес найму: стандартизуйте перевірку тестових завдань, надавайте внутрішні шаблони замість стороннього коду, а отримані матеріали проганяйте через безпечні шлюзи та «пісочниці».
Швидке освоєння EtherHiding групою UNC5342 демонструє, як поєднання смарт‑контрактів, read‑only викликів і мультичейн‑хостингу підвищує стійкість кампаній. Командам варто вже зараз посилити гігієну роботи з кодом, ізолювати тестові середовища та розгорнути поведінкову детекцію з моніторингом звернень до блокчейн‑RPC. Це зменшить імовірність компрометації облікових даних і знизить ризик крадіжки криптоактивів.
