قام قراصنة كوريون شماليون بتضمين برامج ضارة في عقود Ethereum و BNB الذكية

يستخدم المتسللون الكوريون الشماليون برنامجا ضارا جديدا يمكنه الاختباء داخل عقود blockchain الذكية لسحب العملات المشفرة خلسة.

يطلق على البرنامج الضار اسم EtherHidden ، وهو نشط منذ سبتمبر 2023 على الأقل ، وفقا لتقرير حديث صادر عن مجموعة استخبارات التهديدات التابعة لجوجل. 

في حين تم رصده سابقا في حملات ذات دوافع مالية من قبل مجرمي الإنترنت ، فهذه هي المرة الأولى التي يلاحظ فيها الباحثون قيام دولة قومية بنشرها. 

في أحدث النتائج التي توصلت إليها ، ربطت Google استخدام البرامج الضارة ب UNC5342 ، وهي مجموعة تهديد مرتبطة بوحدة القرصنة سيئة السمعة في كوريا الشمالية ، FamousChollima.

حذر باحثو Google من أن EtherHiding يقدم تحديات جديدة للمدافعين ، لأنه يتجاوز الأساليب التقليدية لتحييد الحملات الضارة. 

على عكس البنية التحتية النموذجية للبرامج الضارة ، والتي يمكن أن تتعطل غالبا عن طريق حظر عناوين IP المعروفة أو إزالة النطاقات ، تعمل العقود الذكية بشكل مستقل على شبكات blockchain ولا يمكن إزالتها أو تغييرها بمجرد نشرها. 

خص الفريق كلا من Ethereum و BNB Smart Chain كمنصات تم فيها تضمين التعليمات البرمجية الضارة بالفعل ، مما يسمح للقراصنة باستخدام هذه العقود كوسائل لتوزيع البرامج الضارة.

كيف يستهدف EtherHiding مستخدمي التشفير؟

وفقا للباحثين ، يعمل EtherHiding عن طريق إخفاء التعليمات البرمجية داخل العقود الذكية العامة ، والتي يمكن تشغيلها بعد ذلك عبر JavaScript المزروعة على مواقع WordPress المخترقة. 

عندما يزور المستخدم أحد هذه المواقع المفخخة ، يتم تشغيل برنامج نصي صغير للتحميل بصمت في متصفحه.

بعد ذلك ، يصل البرنامج النصي إلى blockchain ، دون ترك أي آثار على السلسلة ، لأنه يستخدم مكالمات للقراءة فقط مثل eth_call ، ويسحب التعليمات الضارة من العقد الذكي ، والذي يعيد التوجيه بعد ذلك إلى الخوادم التي يتحكم فيها المهاجم والتي توفر حمولة البرامج الضارة الكاملة إلى جهاز المستخدم.

نظرا لأن التفاعل مع blockchain لا يولد أي معاملات أو يتحمل رسوم غاز ، فإنه لا يترك أي مؤشرات نموذجية قد تبحث عنها أدوات الأمان.

بمجرد تنفيذ البرامج الضارة ، يمكن أن تتخذ أشكالا مختلفة ، بدءا من صفحات تسجيل الدخول المزيفة المصممة لجمع بيانات الاعتماد إلى سارقي المعلومات وحتى برامج الفدية. 

ونظرا لأن البرامج الضارة تستخدم blockchain كخلفية مرنة ، فإنها تجعل من الصعب بشكل كبير إغلاق الحملة بمجرد شروعها.

التداعيات خطيرة ، لا سيما بالنظر إلى تاريخ كوريا الشمالية في استخدام الجرائم الإلكترونية لتمويل برامج أسلحتها والتهرب من العقوبات.

ظل قراصنة كوريا الشمالية يشكلون تهديدا ثابتا

على مر السنين ، اكتسبت وحدات القرصنة في بيونغ يانغ سمعة طيبة في التطور ، ونشرت مجموعة واسعة من حيل الهندسة الاجتماعية والبرامج الضارة لاختراق منصات التشفير والمؤسسات المالية.

من التظاهر بأنهم مطورون يتقدمون للحصول على وظائف للتسلل إلى الشركات إلى خداع الضحايا للانضمام إلى مقابلات بودكاست مزيفة ، أظهر الجهات الفاعلة في التهديد في كوريا الشمالية باستمرار الصبر والإبداع في تنفيذ حملات تسلل طويلة الأمد.

في الأشهر الأخيرة ، لجأوا إلى الاستعانة بمصادر خارجية لأجزاء من عملياتهم.

وفقا للتقارير السابقة ، بدأت المجموعات الكورية الشمالية في توظيف أفراد غير كوريين للعمل كواجهات ، مما يساعدهم على اجتياز المقابلات والوصول من الداخل إلى شركات التشفير.

لكن كوريا الشمالية ليست وحدها التي تلجأ إلى العقود الذكية لأغراض خبيثة.

في حملة منفصلة كشفت عنها ReversingLabs في وقت سابق من عام 2025 ، تم العثور على المهاجمين يستخدمون حزم npm لتحميل العقود الذكية على Ethereum ، والتي بدورها استضافت عناوين URL المستخدمة لتقديم حمولات المرحلة الثانية التي تستهدف مستخدمي التشفير.