Дослідники компанії ReversingLabs виявили нову хвилю атак від північнокорейських хакерів, спрямовану на розробників JavaScript та Python, які шукають роботу в криптовалютній сфері. Фіктивні HR пропонують шукачам роботи виконати тестові завдання по вдосконаленню тестового коду, але справжньою метою є спонукання запустити зловмисний код.
Кампанія триває щонайменше з травня 2025 року, фахівці ReversingLab дали їй назву Graphalgo, через назву програмних пакетів, які часто містять в назві частку «graph», як-то «graphlib». У грудні 2025 року хакери перейшли на використання пакетів зі словом «big», вірогідно, щоб зменшити впізнаваність.
Як працює атака
- Зловмисники створюють фейкові компанії, які начебто працюють у сфері блокчейну та криптотрейдингу
- Від імені HR-відділу цих компаній публікуються вакансії на платформах на кшталт LinkedIn, Facebook, Reddit
- Кандидатам пропонують виконати тестове завдання: зібрати, відлагодити чи вдосконалити проект
- У коді приховано залежність із пакетом, що містить зловмисний код на npm чи PyPi, який завантажує RAT (Remote Access Trojan)
- Код активується на одразу, а з затримкою, щоб жертва не запідозрила причетність тестового завдання
Особливості вірусної атаки
Виявлено 192 шкідливих пакети, що маскувалися під справжні бібліотеки, наприклад, пакет bigmathutils був безпечним до версії 1.1.0, після чого отримав шкідливий код. Після поширення шкідливих версій зловмисники іноді видаляли пакети, щоб приховати сліди і відтермінувати виявлення фахівцями з кібербезпеки.
Код орієнтований на викрадення криптовалют. Віддалене адміністрування дозволяє виконувати команди із серверів зловмисників, встановлювати додаткове зловмисне програмне забезпечення, і шукати в памʼяті криптогаманці і токени доступу.
Зловмисники створили фейкові проекти на різних мовах програмування (JavaScript, Python, VBS), щоб охопити більше цілей
Хто стоїть за атакою
ReversingLabs з високою ймовірністю приписує кампанію групі Lazarus, відомій своїми атаками на криптовалютні компанії. Про це опосередковано свідчить затримка після інфікування, яку ця група полюбляє вбудовувати в свої віруси. Часові мітки у комітах відповідають часовому поясу Північної Кореї (GMT+9). Також загальновідомим є той факт, що після накладання нових санкцій на КНДР з приходом до влади Кім Чен Ина, країна організувала цілу бізнес-схему з викраденням криптовалют для поповнення державного бюджету.
Рекомендації для розробників
Якщо ви встановлювали підозрілі пакети, варто змінити всі токени та паролі й перевстановити ОС. Будьте обережні з тестовими завданнями від маловідомих компаній, особливо у криптовалютній сфері. Не запускайте невідомий код, а якщо по роду своєї діяльності вам все ж потрібно це робити, привчіться робити це на віртуальній машині, в разі інфікування якої не станеться витік особистих чи фінансових даних.