64 слоя защиты и один майнер. Red Asgard за пять дней вскрыли софт Lazarus

Команда Red Asgard обнаружила северокорейское вредоносное программное обеспечение в проекте клиента на Upwork и провела детальное расследование, результаты которого опубликовала 12 января 2026 года.

Всё началось с рутинной проверки кода криптовалютного проекта, найденного через фриланс-платформу. Подрядчик, работавший под фальшивой личностью, внедрил в репозиторий сразу три механизма заражения. Первый использовал функцию автозапуска в VSCode — вредоносный код выполнялся в тот момент, когда разработчик просто открывал папку с проектом в редакторе. Второй механизм был спрятан в обработчике ошибок и позволял выполнять произвольный код на сервере. Третий маскировался под безобидную функцию получения cookies, которая на самом деле загружала вредоносный JavaScript с управляющего сервера.

Исследователи развернули изолированную среду для анализа и начали отслеживать цепочку. Все три вектора атаки вели к серверам первого уровня, размещённым на платформе Vercel. Оттуда следы привели к выделенным серверам управления в дата-центрах Majestic Hosting и TIER-NET. Все серверы работали под Windows Server 2019/2022 с Express.js на порту 1244 и FTP-сервером для выгрузки украденных данных.

В ходе разведки команда обнаружила уязвимость, позволяющую определять действующие токены кампаний по времени отклика сервера. Запрос с действительным токеном обрабатывался примерно за 400 миллисекунд, тогда как недействительный вызывал таймаут в 6 секунд. Эта пятнадцатикратная разница позволила идентифицировать три активные кампании.

Управляющий сервер раздавал модульные полезные нагрузки через различные конечные точки: похититель данных Chrome, расширенный модуль для кражи криптокошельков Brave и Exodus, сетевой модуль с функциями троянца удалённого доступа, инжектор для расширения MetaMask и полноценный бэкдор под названием Tsunami с интегрированным майнером криптовалюты.

Особый интерес представлял основной бэкдор, упакованный в 64 слоя обфускации. Первый слой оказался самым сложным — кодировка Base85 с восьмибайтовым ключом XOR, который пришлось восстанавливать методом анализа паттернов. Остальные слои были механическими: распаковка zlib, переворот строки, декодирование base64 и повтор. Финальная полезная нагрузка объёмом 175 килобайт на Python оказалась бэкдором с криптомайнером XMRig, замаскированным под процесс браузера Microsoft Edge. Операторы не только крадут учётные данные, но и добывают Monero на машинах жертв.

Вредонос использует изощрённые методы закрепления в системе: помещает скрипт в папку автозагрузки под видом «Windows Update Script», создаёт запланированную задачу под именем «Runtime Broker» и добавляет исключения в Windows Defender через PowerShell. Для получения адресов резервных серверов управления используется тысяча заранее созданных профилей на Pastebin в качестве так называемых «мёртвых почтовых ящиков».

Операторы инфраструктуры оказались бдительными. Во время активной разведки исследователи наблюдали ответные действия в реальном времени: три из пяти серверов управления ушли в офлайн прямо в ходе расследования, нестандартные порты на одном из серверов закрылись после первых же проб, а доставка полезных нагрузок была отключена — все токены стали возвращать пустые ответы.

Попытки использовать найденные XOR-ключи в качестве паролей для доступа к серверам не увенчались успехом — операторы строго разделяют ключи шифрования вредоносов и учётные данные инфраструктуры. Однако жёстко прописанные в коде учётные данные MongoDB дали доступ к 32 базам данных общим объёмом 3,2 гигабайта. Примечательно, что тот же кластер MongoDB Atlas обслуживает и легитимно выглядящие проекты разработки — спортивное приложение и тестовые среды. Такое смешение создаёт прикрытие: в случае расследования операторы могут указать на «обычную» разработку.

Атрибуция указывает на группировку Lazarus с высокой степенью уверенности. IP-адреса отмечены четырнадцатью антивирусными вендорами, та же подсеть документирована в отчётах Sekoia и Unit42, а тактика полностью соответствует кампании Contagious Interview: фальшивые вакансии, репозиторий на GitHub, автозапуск в VSCode, кража криптовалюты.

Кампания Contagious Interview не нова — её документировали SentinelOne, Sekoia и другие исследователи. Подставная компания BlockNovas была конфискована ФБР в апреле 2025 года. Однако инфраструктура, задокументированная в январе 2026-го, по-прежнему активна. Ликвидации замедляют злоумышленников, но не останавливают их.

Исследователи предупреждают: организации, нанимающие криптовалютных разработчиков через Upwork, Fiverr и аналогичные платформы, находятся в зоне риска. Необходимо проверять репозитории перед открытием, отключать автозапуск задач в VSCode и просматривать скрипты в package.json прежде чем выполнять npm install.