Nordkoreanske hackere indlejrede malware i Ethereum og BNB smarte kontrakter

Nordkoreanske hackere bruger en ny malware, der kan gemme sig i blockchain-smarte kontrakter til at snigende suge kryptovalutaer.

Malwaren, der er døbt EtherHiding, har været aktiv siden mindst september 2023, ifølge en nylig rapport fra Googles Threat Intelligence Group.

Selvom det tidligere blev spottet i økonomisk motiverede kampagner af cyberkriminelle, er det første gang, forskere har observeret en nationalstatslig aktør, der anvender det.

I sine seneste resultater forbandt Google malwarens brug med UNC5342, en trusselsgruppe forbundet med Nordkoreas berygtede hackerenhed, FamousChollima.

Googles forskere advarede om, at EtherHiding introducerer nye udfordringer for forsvarere, da det omgår traditionelle metoder til at neutralisere ondsindede kampagner.

I modsætning til typisk malware-infrastruktur, som ofte kan forstyrres ved at blokere kendte IP-adresser eller fjerne domæner, fungerer smarte kontrakter autonomt på blockchain-netværk og kan ikke fjernes eller ændres, når de først er implementeret.

Holdet udpegede både Ethereum og BNB Smart Chain som platforme, hvor ondsindet kode allerede er blevet indlejret, hvilket giver hackere mulighed for at bruge disse kontrakter som midler til at distribuere malware.

Hvordan målretter EtherHiding sig mod kryptobrugere?

Ifølge forskere fungerer EtherHiding ved at skjule kode i offentlige smarte kontrakter, som derefter kan udløses via JavaScript plantet på kompromitterede WordPress-websteder.

Når en bruger besøger et af disse booby-fangede websteder, kører et lille loader-script lydløst i deres browser.

Efterfølgende når scriptet ud til blockchainen uden at efterlade spor på kæden, da det bruger skrivebeskyttede opkald som eth_call og trækker ondsindede instruktioner fra den smarte kontrakt, som derefter omdirigerer til angriberkontrollerede servere, der leverer den fulde malware-nyttelast til brugerens enhed.

Fordi interaktionen med blockchain ikke genererer nogen transaktioner eller pådrager sig gasgebyrer, efterlader den ingen typiske indikatorer, som sikkerhedsværktøjer kan kigge efter.

Når malwaren er udført, kan den antage forskellige former, lige fra falske login-sider designet til at høste legitimationsoplysninger til infostealere og endda ransomware.

Og da malwaren bruger blockchain som en modstandsdygtig backend, gør det det betydeligt sværere at lukke kampagnen ned, når den først er i gang.

Konsekvenserne er alvorlige, især i betragtning af Nordkoreas historie med at bruge cyberkriminalitet til at finansiere sine våbenprogrammer og omgå sanktioner.

Nordkoreanske hackere er forblevet en konstant trussel

I årenes løb har Pyongyangs hackerenheder udviklet et ry for raffinement og implementeret en bred vifte af social engineering-tricks og ondsindet software til at bryde ind på kryptoplatforme og finansielle institutioner.

Fra at udgive sig for at være udviklere, der søger job for at infiltrere virksomheder til at narre ofre til at deltage i falske podcast-interviews, har nordkoreanske trusselsaktører konsekvent udvist tålmodighed og kreativitet i udførelsen af langsigtede infiltrationskampagner.

I de seneste måneder har de endda tyet til at outsource dele af deres drift.

Ifølge tidligere rapporter er nordkoreanske grupper begyndt at ansætte ikke-koreanske personer til at fungere som fronter, hvilket hjælper dem med at bestå interviews og få insideradgang til kryptofirmaer.

Men Nordkorea er ikke alene om at ty til smarte kontrakter til ondsindede formål.

I en separat kampagne, der blev afsløret tidligere i 2025 af ReversingLabs, blev angribere fundet ved hjælp af npm-pakker til at indlæse smarte kontrakter på Ethereum, som igen hostede URL'er, der blev brugt til at levere nyttelaster i anden fase, der er rettet mod kryptobrugere.