Специалисты GitLab Threat Intelligence выявили новую серию атак, проводимых северокорейской группировкой, связанной с известными операциями Contagious Interview и Famous Chollima. С мая 2025 года злоумышленники распространяют модифицированные версии вредоносных программ BeaverTail и InvisibleFerret через фиктивные платформы трудоустройства, используя метод социальной инженерии ClickFix.
Описание
В отличие от предыдущих кампаний, нацеленных преимущественно на разработчиков программного обеспечения, на этот раз угроза сконцентрировалась на сотрудниках маркетинга и трейдерах в сфере криптовалют и электронной коммерции. Для доставки вредоносного кода использовались скомпилированные исполняемые файлы, а не скрипты, требующие интерпретаторов, что указывает на адаптацию тактики под менее технически подготовленных жертв.
Инфраструктура атаки включала поддельное веб-приложение для найма, размещенное на businesshire[.]top, с использованием платформы Vercel. Сайт предлагал вакансии в криптовалютных компаниях и ритейле, а также приглашал к инвестициям. При попытке записи видео-ответа соискателям показывалась фальшивая ошибка с камерой или микрофоном, после чего предлагались инструкции по "исправлению" проблемы, зависящие от операционной системы пользователя.
Команды, внедряемые через ClickFix, загружали и запускали скомпилированные версии BeaverTail - вредоносного ПО, предназначенного для кражи данных кошельков и системных учетных записей. Для macOS и Windows использовались исполняемые файлы, упакованные с помощью инструментов pkg и PyInstaller, в то время как для Linux применялась классическая JavaScript-версия.
Обнаруженный вариант BeaverTail демонстрирует упрощенную логику сбора данных и нацелен на меньшее количество браузерных расширений по сравнению с ранее известными версиями. Это может свидетельствовать о тестовом характере кампании. Кроме того, в коде остались артефакты разработки, такие как нестандартные пути к файлам и тестовые механизмы экстрафикации.
Аналитики отмечают, что группировка активно использует методы обхода автоматического анализа, такие как проверка User-Agent и выдача различного контента в зависимости от заголовков запроса. Это затрудняет обнаружение инфраструктуры автоматизированными системами и снижает видимость активности в песочницах.
Эксперты считают, что кампания еще не получила широкого распространения, но демонстрирует важный сдвиг в тактике северокорейских хакеров: переход к атакам на более широкий спектр профессий и использование скомпилированных полезных нагрузок для увеличения процента успешных заражений. Рекомендуется усилить мониторинг активности, исходящей с IP-адресов, перечисленных в отчете, и обучить сотрудников распознавать фишинговые техники, особенно в области найма и инвестиционных предложений.
Индикаторы компрометации
IPv4
- 172.86.93.139
- 188.43.33.250
Domains
- businesshire.top
- nvidiasdk.fly.dev
Emails
SHA256
- 05ae07783d30b37aa5f0ffff86adde57d0d497fe915537a3fc010230b54e1ee8
- 17891f7db5a633c0186f3c2c8311a16a989b55bb0ba0430da7d2afb7f616c79c
- 247fdba5fbfd076d9c530d937406aa097d6794b9af26bfc64bf6ea765ed51a50
- 25c9fc5c5564a74430b92cb658d43e441dee1b3c0f692dc2571ac2918efa9a52
- 4a1588e27a3f322e94e490173fe2bfa8d6e2f407b81a77af8787619b0d3d10bd
- 65665c3faba4fbfed12488e945306b10131afb9d3ad928accdcef75e0945a086
- 6a16b1ef16e999a0d32a4b9189f6f179d629ba143b5b03db06c95156ee089615
- 9bc46c59e734b2389328a5103739f42bed7d820c73f75c49cc5a2e8cacfe8940
- e224a1db42ae2164d6b2f2a7f1f0e02056e099fc8d669ce37cdaa0a2a2750e3b
- e79b827b3cc29e940736dc20cc9c25958c0b09c25fc0bc8aacbd6365f38db71f
- eba9fdb2f077f9a3e14cf428162b967b5e6c189db19c33c5b11601efcd02b3d3
