Найти работу или проблемы. Новая угроза для блокчейн-разработчиков и криптопроектов

Работа хакеров хоть и сложная, но явно не скучная. Им регулярно нужно придумывать методы для обмана наиболее опытных специалистов. И эти способы с каждым разом становятся все изощреннее. В GetBlock AML Research проанализировали одну из угроз для блокчейн-разработчиков и криптовалютных проектов, которая может настигнуть при поиске работы.

Откуда ноги растут

Впервые о масштабной компрометации сотрудников для взлома стало известно в 2015 году. Тогда хакерская группировка Lazarus Group, предположительно связанная с Северной Кореей, получила доступ к счетам и экосистеме Bangladesh Bank. В течение года хакеры рассылали сотрудникам банка различные фишинговые письма, к которым прикрепляли файлы с вредоносным кодом. Одному из таких писем все-таки удалось ввести в заблуждение сотрудника банка, который скачал вредоносный файл. После этого злоумышленники получили доступ к инфраструктуре банка и кража средств стала лишь вопросом времени. Тогда Lazarus Group удалось похитить $81 млн.

Спустя 10 лет хакеры используют все те же приемы, но с использованием более совершенных навыков социальной инженерии. Теперь они выдают себя за рекрутеров, которые ведут поиск высокооплачиваемых специалистов. Далее рассмотрим один из реальных кейсов, в ходе которого хакеры попытались взломать организацию через компрометацию одного из ее сотрудников.

Как отмыть крипту на $1,5 млрд за 5 простых шагов. Кейс Lazarus Group

Криптобирже Bybit удалось заблокировать только $42,8 млн. Это менее 3% от общей стоимости украденных активов

Читать дальше

На крючке

На почту предполагаемой жертвы пришло письмо от рекрутера-злоумышленника, в котором описывались детали проекта, условия найма и перечислялись необходимые от сотрудника навыки. Текст максимально похож на реальное предложение о сотрудничестве и не содержит подозрительных формулировок.

Реальное письмо от злоумышленника в Google Mail

В письме также указывается, что его получатель был рекомендован на вакантное место, поэтому именно его кандидатура заинтересовала “работодателя”. По легенде соискателю предстоит разработка игровой платформы смарт-контрактов для ставок. Хакер-рекрутер предоставил рабочие материалы (ссылку в Figma на предварительный дизайн проекта).

Процесс трудоустройства также был заранее описан злоумышленником и состоял из трех этапов:

1. Проверка биографических данных и навыков
2. Тестовое задание по разработке
3. Техническое интервью

На первом этапе хакер не подавал никаких подозрительных признаков и выдал себя только на втором этапе. Он начал звонить соискателю и уговаривать его сделать тестовое задание как можно скорее, поскольку проекту срочно требуется разработчик. Потенциальной жертве была выслана ссылка на репозиторий.

Содержимое репозитория

Содержимое репозитория, описание и метаданные полностью соответствуют заявленному проекту. Однако при тщательном анализе кода можно кое-что обнаружить. Наиболее интересная часть кода была спрятана в файле server.js на строке 46.

Попытка скрыть код при помощи пробелов в файле server.js

На первый взгляд строка может показаться пустой. На самом деле код на строке был скрыт при помощи пробелов и чтобы его увидеть необходимо перевести полосу прокрутки вправо. Скрытая часть кода содержит функцию, которая загружает на устройство вредоносный код.

Скрытая часть кода в файле server.js

Даже в случае обнаружение скрытой загрузки - идентифицировать вредоносный код будет невозможно, поскольку он несколько раз закодирован в base64. Эксплоит сконструирован таким образом, чтобы даже в случае успешного взлома жертва не узнала о компрометации. Поэтому в случае компиляции проекта - все успешно работает.

ПРЕДУПРЕЖДЕНИЕ: не запускайте подозрительный код на собственных устройствах. Все операции, проведенные дальше, выполнены при помощи виртуальной машины.

Скомпилированный проект с вредоносным кодом

После успешной компиляции и запуска проекта - открывается приложение, которое описывал хакер-рекрутер. Внешне никаких признаков взлома нет, однако подозрительный код, который находится в файле server.js, отправляет запрос (http://216.173.115[.]200:1244/s/bc7302f71ff3) на загрузку вредоносных файлов test.js и .npl.

Загрузка вредоносных файлов test.js и .npl

Скрипт test.js используется для кражи данных браузера, в частности учетных записей и закрытых ключей криптовалютных кошельков. Троян .npl нужен для получения контроля над устройством. После запуска этих файлов они связываются с сервером злоумышленника и передают ему необходимую информацию. На этом этапе взлом можно считать успешным.

Как разработчику себя защитить

Рассмотренный выше кейс не единственный пример того, как злоумышленники распространяют вредоносный код. Часто хакеры-рекрутеры используют Telegram, Discord и другие способы связи с потенциальными жертвами. Для защиты от подобных схем рекомендуем:

• Тщательно проверяйте всю информацию о предложениях работы/фриланса. Сверяйте данные с официальными источниками. Свяжитесь с официальными представителями компании/организации, чтобы подтвердить контакт;
• Внимательно изучите сторонний код, который необходимо загрузить/запустить. Все взаимодействия с неизвестным кодом лучше выполнять на виртуальной машине;
• Не идите на поводу у злоумышленников, если они ставят слишком срочные дедлайны (в надежде, что в спешке вы проигнорируете принципы безопасности);
• С особым подозрением относитесь к предложениям о найме, если потенциальная заработная плата значительно выше среднего дохода по рынку;
• Отключите автоматическую загрузку файлов и мультимедиа в Telegram, Discord и других мессенджерах.

Как защитить компанию

• Проводите разъяснительные работы с персоналом о фишинговых атаках и инструментах хакеров;
• Регулярно моделируйте потенциальные атаки на своих сотрудников, выявляйте их действия в этих ситуациях, проводите разбор атаки;
• Используйте защитное программное обеспечение, которое идентифицирует вредоносные элементы в мессенджерах и email-клиентах;
• Исключите возможность утечек конфиденциальной информации.