Северокорейцы придумали идеальное резюме: вы думаете, что нанимаете, а они уже внутри
NewsMakerХакеры из КНДР научились незаметно подменять расширения в Chrome.
Северокорейские злоумышленники пытаются подменять расширение криптокошелька MetaMask прямо на компьютере жертвы, и в успешном сценарии это может выглядеть для пользователя незаметно. Технику описали в рамках кампании Contagious Interview, которую исследователи связывают с актором из КНДР. Основные цели — IT-специалисты и разработчики из криптовалютной, Web3 и ИИ-сферы.
Заражение обычно начинается с фиктивного технического собеседования. Кандидату предлагают выполнить тестовое задание и запустить NPM-пакет. Внутри оказывается вредоносный JavaScript, который связывается с управляющей инфраструктурой, подтверждает запуск маячком и подтягивает следующий этап. Далее на машину загружаются дополнительные компоненты, в том числе два JavaScript-модуля с разными задачами и Python-бэкдор InvisibleFerret, который эта кампания использует уже несколько лет.
Один из JavaScript-компонентов отвечает за поиск и эксфильтрацию данных: он методично обходит файловую систему по набору шаблонов и выкачивает файлы, которые могут содержать секреты, — от данных браузера и менеджеров паролей до файлов криптокошельков и ключей. Второй компонент работает как легковесный бэкдор и принимает команды с C2. В анализе отдельно отмечена команда, которая подгружает ещё один скрипт для манипуляций с расширениями Chromium-браузеров.
Дальше атакующие могут попытаться заменить MetaMask в Chrome или Brave на троянизированную сборку. Скрипт ищет установленный кошелёк в профилях браузера, скачивает архив с вредоносным расширением и подменяет содержимое каталога. Критическая часть атаки основана на модификации файлов Preferences и Secure Preferences: злоумышленники меняют настройки расширения, переключают его на загрузку из локальной папки, включают режим разработчика и подставляют значения MAC, которые Chrome использует для проверки целостности конфигурации на базе HMAC-SHA256. Конфиг с MAC приходит с сервера атакующих, а механизм генерации валидных значений под конкретную систему в исследовании остаётся невыясненным. Чтобы принудительно загрузить подменённый код, скрипт также удаляет каталоги, связанные с Service Worker, и завершает процесс браузера.
Северокорейские злоумышленники пытаются подменять расширение криптокошелька MetaMask прямо на компьютере жертвы, и в успешном сценарии это может выглядеть для пользователя незаметно. Технику описали в рамках кампании Contagious Interview, которую исследователи связывают с актором из КНДР. Основные цели — IT-специалисты и разработчики из криптовалютной, Web3 и ИИ-сферы.
Заражение обычно начинается с фиктивного технического собеседования. Кандидату предлагают выполнить тестовое задание и запустить NPM-пакет. Внутри оказывается вредоносный JavaScript, который связывается с управляющей инфраструктурой, подтверждает запуск маячком и подтягивает следующий этап. Далее на машину загружаются дополнительные компоненты, в том числе два JavaScript-модуля с разными задачами и Python-бэкдор InvisibleFerret, который эта кампания использует уже несколько лет.
Один из JavaScript-компонентов отвечает за поиск и эксфильтрацию данных: он методично обходит файловую систему по набору шаблонов и выкачивает файлы, которые могут содержать секреты, — от данных браузера и менеджеров паролей до файлов криптокошельков и ключей. Второй компонент работает как легковесный бэкдор и принимает команды с C2. В анализе отдельно отмечена команда, которая подгружает ещё один скрипт для манипуляций с расширениями Chromium-браузеров.
Дальше атакующие могут попытаться заменить MetaMask в Chrome или Brave на троянизированную сборку. Скрипт ищет установленный кошелёк в профилях браузера, скачивает архив с вредоносным расширением и подменяет содержимое каталога. Критическая часть атаки основана на модификации файлов Preferences и Secure Preferences: злоумышленники меняют настройки расширения, переключают его на загрузку из локальной папки, включают режим разработчика и подставляют значения MAC, которые Chrome использует для проверки целостности конфигурации на базе HMAC-SHA256. Конфиг с MAC приходит с сервера атакующих, а механизм генерации валидных значений под конкретную систему в исследовании остаётся невыясненным. Чтобы принудительно загрузить подменённый код, скрипт также удаляет каталоги, связанные с Service Worker, и завершает процесс браузера.