Разработчики блокчейн под атакой: кампания по распространению вредоносного ПО, созданного с помощью ИИ, группой KONNI из Северной Кореи

Криптовалютные и блокчейн-разработчики по всей Японии, Австралии и Индии сталкиваются с растущей киберугрозой. Группа APT KONNI, связанная с Северной Кореей, начала сложную операцию по распространению вредоносного ПО, созданного с помощью ИИ и специально разработанного для компрометации систем разработчиков. Эксперты по безопасности сейчас предупреждают о скоординированной кампании, использующей передовые технологии для атаки на сектор цифровых активов.

Целевые операции вредоносного ПО KONNI APT

KONNI, государственная хакерская группа, базирующаяся в Северной Корее, усилила свои операции, развернув вредоносное ПО, созданное с использованием возможностей искусственного интеллекта. В отличие от традиционных бэкдоров, эти инструменты, генерируемые ИИ, демонстрируют адаптивное поведение и сложные техники уклонения. Вредоносное ПО, написанное специально на PowerShell, позволяет злоумышленникам устанавливать постоянный доступ к скомпрометированным системам и извлекать чувствительные данные из сред разработки.

Целевое нападение на разработчиков блокчейна представляет собой значительный сдвиг в тактике группы. Фокусируясь на профессионалах в области криптовалют, KONNI стремится проникнуть в цепочки разработки, потенциально компрометируя инфраструктуру блокчейн-проектов. Это создает повышенную угрозу безопасности криптоэкосистемы.

Распространение через Discord: канал заражения

Механизм заражения основан на простом, но эффективном методе распространения. KONNI использует Discord — популярную платформу для коммуникаций, предпочитаемую техническими сообществами — для размещения вредоносных архивов и репозиториев кода. Невинные разработчики, полагая, что скачивают легитимные инструменты или библиотеки, на самом деле получают вооруженные вредоносные пакеты.

Процесс заражения реализуется с помощью методов социальной инженерии, адаптированных под блокчейн-разработчиков. Замаскировав вредоносное ПО внутри привычных сред разработки и доверенных платформ, KONNI увеличивает шансы на успешную компрометацию. После запуска, бэкдор на PowerShell устанавливает командно-контрольные связи, предоставляя злоумышленникам возможность удаленного выполнения команд.

Check Point Research раскрывает детали кампании

21 января 2026 года компания Check Point Research опубликовала всесторонний анализ, документирующий масштаб, технические характеристики и угрозы этой кампании вредоносного ПО. В отчете исследовательской фирмы представлены важные сведения о методологии работы KONNI, включая создание полезных нагрузок, механизмы доставки и действия после заражения.

Выводы Check Point показывают, что это скоординированная, хорошо финансируемая кампания, а не случайные атаки. Использование компонентов вредоносного ПО, созданных с помощью ИИ, свидетельствует о значительных технических инвестициях и сложных возможностях разработки. Специалистам по безопасности в блокчейн-индустрии рекомендуется ознакомиться с полным отчетом и внедрить дополнительные меры защиты конечных точек.

Эта угроза подчеркивает необходимость для разработчиков сохранять повышенную бдительность относительно источников программного обеспечения и придерживаться надежных практик безопасности для защиты своих организаций от передовых угроз вредоносного ПО.