Корейские хакеры используют фиктивные собеседования и вредоносные репозитории для кражи криптовалюты

Активность группировки, известной под названием NICKEL ALLEY, отслеживается экспертами по кибербезопасности уже несколько лет. Угроза сохраняет актуальность, демонстрируя адаптивность: хакеры постоянно обновляют инфраструктуру, меняют вредоносные полезные нагрузки и используют разнообразные платформы для своих атак. В течение 2025 года их основным инструментом стала тактика "ClickFix", которая используется для доставки троянца удалённого доступа PyLangGhost RAT.

Механика атаки построена на фиктивном процессе собеседования. Злоумышленники создают поддельные страницы компаний в LinkedIn и GitHub, имитирующие деятельность реальных технологических стартапов, часто связанных с блокчейном или Web3-разработкой. Кандидату, откликнувшемуся на вакансию, предлагают выполнить тестовое задание на специально созданном сайте. В определённый момент сайт "ломается", выдавая ошибку, а для её исправления жертве предлагается скопировать и выполнить в командной строке специальную команду. Согласно отчёту исследователей, команда, например, через "curl" или "wget", загружает архив из контролируемого злоумышленниками домена.

Архив, чьё имя часто содержит слова "fix" или "patch", распаковывается в директорию %TEMP%. Далее запускается VBS-скрипт, который, в свою очередь, исполняет переименованный бинарный файл "python.exe" под видом системного процесса. Этот легитимный интерпретатор Python запускает вредоносный скрипт, что является попыткой обойти защитные решения, ищущие необычную активность. Итогом цепочки становится установка троянца PyLangGhost RAT. Этот инструмент обладает широким функционалом: от сбора системной информации и выполнения произвольных команд до кражи учётных данных и файлов cookie из браузеров. Ключевой особенностью является целенаправленный поиск данных криптовалютных кошельков, установленных в качестве расширений для Chrome, что прямо указывает на финансовые мотивы группировки.

Параллельно с этим NICKEL ALLEY продолжает атаковать разработчиков через скомпрометированные или специально созданные репозитории в npm и GitHub. В одном из наблюдаемых случаев злоумышленники убедили жертву клонировать репозиторий и выполнить стандартные команды "npm install" и "npm start". Вредоносный код, замаскированный под проект Web3-игры, при запуске обращался к серверу на платформе Vercel и загружал другую вредоносную полезную нагрузку - BeaverTail. Использование популярных платформ "как услуга" (PaaS) позволяет атакующим гибко менять полезные нагрузки и дольше оставаться незамеченными.

Особую изобретательность группа проявила, используя легитимную функциональность редактора кода Visual Studio Code. Злоумышленники размещали в репозиториях конфигурационный файл "tasks.json", который автоматически исполнялся при открытии проекта в VS Code. Задача содержала команды на загрузку вредоносного кода, адаптированного под операционную систему жертвы. Этот метод демонстрирует глубокое понимание рабочих процессов разработчиков и позволяет атаковать их в момент наибольшей вовлечённости в работу с кодом.

Поведение группировки также характеризуется недостатком операционной безопасности. Исследователи отмечают нестыковки в легендах: доменное имя на фейковой странице в LinkedIn может вести на сайт реальной аэрокосмической компании, а сайт-приманка может быть собран на основе шаблона с незаменённым текстом-заглушкой. Кроме того, хакеры имеют привычку "очищать" историю коммитов в GitHub, удаляя ссылки на вредоносную инфраструктуру, когда репозиторий не используется в активной кампании. Это, с одной стороны, затрудняет анализ, а с другой - позволяет быстро перенастроить атаку на новый сервер.

Важным аспектом угрозы является её корпоративная составляющая. Злоумышленники настойчиво просят кандидатов выполнять тестовые задания на своих рабочих компьютерах, а не на личных ноутбуках. Это указывает на стремление получить доступ именно к корпоративным сетям, что выходит за рамки простой кражи криптовалюты с личных устройств сотрудников. Полученный доступ может быть использован для горизонтального перемещения по сети, сбора коммерческой тайны или подготовки атаки на цепочку поставок программного обеспечения.

Для противодействия подобным угрозам организациям, особенно в технологическом и финансовом секторах, необходимо усилить мониторинг подозрительной активности. Ключевыми индикаторами могут служить команды, сочетающие в себе "curl", "PowerShell" и запуск исполняемых файлов из временной директории, а также сетевая активность, исходящая от процессов Node.js. Не менее важна и работа с человеческим фактором: сотрудников следует обучать распознаванию фишинговых методик и поощрять к сообщению о любых нестандартных или непрошенных контактах с рекрутерами в соцсетях и по электронной почте. В условиях, когда целевые атаки начинаются с убедительной социальной инженерии, осведомлённость персонала становится критически важным элементом обороны.

IPv4

• 144.172.93.88
• 95.169.180.140

Domains

• astrabytesync.com
• astrabytesyncs.com
• chainlink-api-v3.com
• publicshare.org
• talentacq.pro

URLs

• https://ake-test.vercel.app/api/data
• https://astrahub.vercel.app/api/data
• https://astraluck-vercel.vercel.app/api/dat
• https://github.com/astrasbytesyncs/web3-social-platform
• https://github.com/mishalepo/test-project
• https://rgg-test.vercel.app/api/data
• https://rgg-vercel.vercel.app/api/data
• https://vscode-ext-git.vercel.app

MD5

• 1d652e7ab71621c7245bfbf84bacdc3e
• 52f173a760db5d68e52ba1f1ac51c023
• a55629dc112ee133ac8dba80549cb0c7
• e9b9d86a22f9795d42632650a78d57df

SHA1

• 0f010280ee2a91a57b0edf8f18c0091ce741d4e7
• 2151d4d7dc8d6dca7242928a17ea3fb14f58ccef
• ac26ecf52002d87f3ba89f9e1b0742eed9e75e3d
• de05ecc9f0136246d0160923108026660eee06e6

SHA256

• 1b42fc77155bd78b098e0b72440dd72d6154312569e6ba46f1e5dc94b31c6b42
• 58c1e49c67e5b7bcf10d30e370685d10c2fa263f24b8d099a97005c7a35f1346
• 5e307ef3aa9f20d963382700173530cdc455c1523631bbe22ede3710a2a30373
• 5ee13db6a646a9de00bbeec6030677e412bfeecdca226b1ff035e07927970ce0