GitLab раскрыл тайну. Хакеры сменили тактику, но их цель — не программисты. Может быть, вы?

leer en español

GitLab Оливер Смит BeaverTail InvisibleFerret ClickFix Vercel Lazarus КНДР Северная Корея
GitLab раскрыл тайну. Хакеры сменили тактику, но их цель — не программисты. Может быть, вы?
GitLab Оливер Смит BeaverTail InvisibleFerret ClickFix Vercel Lazarus КНДР Северная Корея

Киберпреступники поняли, что неподготовленные сотрудники становятся жертвами в разы чаще.

image

GitLab опубликовал отчёт о новой волне атак, в котором исследователь Оливер Смит разобрал изменение методов северокорейской кибергруппировки, применяющей известные семейства вредоносного ПО BeaverTail и InvisibleFerret. В документе описана кампания, в которой злоумышленники отказались от привычной ориентации на разработчиков и стали использовать приёмы ClickFix для охоты на соискателей в маркетинге, торговле и розничной торговле, а также на вакансии в Web3-компаниях.

BeaverTail — JavaScript-стилер, известный как загрузчик для Python-бекдора InvisibleFerret — впервые был подробно описан Palo Alto Networks в конце 2023 года; с тех пор злоумышленники распространяли его через фальшивые npm-пакеты и поддельные приложения для видеоконференций вроде FCCCall и FreeConference.

Группа, объединяемая под меткой Contagious Interview или Gwisin Gang и относимая к более широкой структуре Lazarus, активна с декабря 2022 года и раньше преимущественно маскировала вредоносные инструменты под задания для разработчиков.

Новая волна, зафиксированная в конце мая 2025 года, примечательна тем, что злоумышленники применили ClickFix-ловушки для доставки скомпилированных бинарников BeaverTail, собранных с помощью утилит вроде pkg и PyInstaller для Windows, macOS и Linux. В качестве вектора использовалось поддельное приложение для подбора персонала, размещённое на платформе Vercel, где злоумышленники публиковали вакансии трейдера, продажника и маркетолога, а также предлагали якобы инвестировать в Web3-проект.

Посетителям счётчик фиксировал публичный IP, затем предлагали пройти видеооценку; при «ошибке с микрофоном» жертву просили выполнить команду для своей ОС — шаг, приводивший к запуску оболочечных скриптов или Visual Basic Script и установке облегчённой версии BeaverTail.

Отмеченные модификации указывают на оперативную адаптацию: новая сборка содержит упрощённый модуль кражи данных и нацелена только на восемь расширений браузера вместо привычных двадцати двух, при этом функции по сбору информации из браузеров, отличных от Google Chrome, были удалены. Также впервые зафиксировано использование архивов с паролем для доставки Python-зависимостей InvisibleFerret — приём, метко усложняющий анализ и ускользание от простых детектов. Низкая распространённость дополнительных следов и отсутствие отточенной социальной инженерии позволяют полагать, что это мог быть пробный заход, а не масштабная кампания.

Сдвиг фокуса на менее технических кандидатов и переход к скомпилированным образам говорят о намерении обойти ограничения в средах, где нет инструментов разработки, — операторы продолжают экспериментировать с цепочками доставки, расширяя охват и снижая порог входа для успешной компрометации. Мониторинг упомянутых векторах и проверка подозрительных вакансий на платформах для развёртывания приложений остаются ключевыми мерами против подобных схем.