Розробники блокчейн-інновацій під атакою: кампанія з поширення шкідливого ПЗ, створеного за допомогою штучного інтелекту, від північнокорейської групи KONNI

Ця нова кампанія використовує автоматизовані методи для поширення шкідливих програм, що ускладнює їх виявлення та блокування.
Зловмисники застосовують складні техніки маскування та соціальної інженерії, щоб обдурити користувачів і отримати доступ до їхніх криптовалютних гаманців.
Фахівці з безпеки попереджають, що ця атака може спричинити значні фінансові втрати та порушення безпеки даних.
Рекомендується оновлювати антивірусне програмне забезпечення та бути обережними при відкритті підозрілих листів або посилань.

Криптовалютні та блокчейн-розробники у Японії, Австралії та Індії стикаються з зростаючою кіберзагрозою. Група KONNI APT, пов’язана з Північною Кореєю, розпочала складну операцію з поширення шкідливого програмного забезпечення, створеного за допомогою штучного інтелекту, спеціально розробленого для компрометації систем розробників. Експерти з безпеки зараз попереджають про цю скоординовану кампанію, яка використовує передові технології для цілеспрямованої атаки на сектор цифрових активів.

Цільові операції з шкідливим програмним забезпеченням KONNI APT

Група KONNI, хакерський колектив, що фінансується державою і базується у Північній Кореї, посилила свої операції, розгорнувши шкідливе програмне забезпечення, створене з можливостями штучного інтелекту. На відміну від традиційних бекдорів, ці інструменти, створені за допомогою ШІ, демонструють адаптивну поведінку та складні техніки ухилення. Шкідливе програмне забезпечення у вигляді бекдору, спеціально написане на PowerShell, дозволяє зловмисникам встановлювати постійний доступ до компрометованих систем і витягувати чутливі дані з середовищ розробки.

Цільова орієнтація на розробників блокчейну є значним зсувом у тактиці групи. Зосереджуючись на фахівцях з криптовалют, KONNI прагне проникнути у процеси розробки, потенційно компрометуючи основну інфраструктуру блокчейн-проектів. Це створює підвищену загрозу безпеці криптоекосистеми.

Розповсюдження через Discord: канал інфікування

Механізм інфікування базується на ілюзорно простій, але ефективній стратегії розповсюдження. KONNI використовує Discord — популярну платформу для спілкування, яку віддають перевагу технічні спільноти — для розміщення шкідливих архівів та репозиторіїв коду. Недосвідчені розробники, вважаючи, що завантажують легітимні інструменти або бібліотеки, натомість отримують озброєні шкідливим ПЗ пакети.

Процес інфікування розгортається за допомогою соціальної інженерії, адаптованої до блокчейн-розробників. Замаскувавши шкідливе ПЗ у знайомих контекстах розробки та довірених платформах, KONNI підвищує ймовірність успішної компрометації. Після запуску бекдору на базі PowerShell встановлюється команда та контроль зв’язків, що дозволяє зловмисникам дистанційно керувати системою.

Check Point Research викриває деталі кампанії

21 січня 2026 року компанія Check Point Research опублікувала всебічний аналіз, що документує масштаби цієї кампанії з поширення шкідливого ПЗ, технічні характеристики та загрози. Звіт компанії надає важливі інсайти щодо методології роботи KONNI, включаючи побудову шкідливих пакетів, механізми доставки та дії після інфікування.

Висновки Check Point показують, що це є скоординована, добре ресурсна кампанія, а не випадкові атаки. Використання компонентів шкідливого ПЗ, створених за допомогою ШІ, свідчить про значні технічні інвестиції та складні можливості розробки. Фахівцям з безпеки у блокчейн-індустрії рекомендується ознайомитися з повним звітом і впровадити додаткові заходи захисту кінцевих точок.

Загроза підкреслює, чому розробники повинні бути особливо пильними щодо джерел програмного забезпечення та дотримуватися міцних практик безпеки для захисту від передових шкідливих загроз, спрямованих на їхні організації.