Nordkoreanische Hacker betten Malware in Ethereum- und BNB-Smart-Contracts ein

Nordkoreanische Hacker verwenden eine neue Malware, die sich in Blockchain-Smart-Contracts verstecken kann, um heimlich Kryptowährungen abzuschöpfen.

Die Malware mit dem Namen EtherHide ist laut einem aktuellen Bericht der Threat Intelligence Group von Google seit mindestens September 2023 aktiv.

Während es zuvor in finanziell motivierten Kampagnen von Cyberkriminellen entdeckt wurde, ist dies das erste Mal, dass Forscher einen nationalstaatlichen Akteur beim Einsatz beobachtet haben.

In seinen neuesten Erkenntnissen brachte Google die Verwendung der Malware mit UNC5342 in Verbindung, einer Bedrohungsgruppe, die mit der berüchtigten nordkoreanischen Hackereinheit FamousChollima in Verbindung gebracht wird.

Die Forscher von Google warnten, dass EtherHiding neue Herausforderungen für Verteidiger mit sich bringt, da es traditionelle Methoden zur Neutralisierung bösartiger Kampagnen umgeht.

Im Gegensatz zu typischen Malware-Infrastrukturen, die oft durch das Blockieren bekannter IP-Adressen oder das Entfernen von Domains gestört werden können, arbeiten Smart Contracts autonom in Blockchain-Netzwerken und können nach der Bereitstellung nicht entfernt oder geändert werden.

Das Team identifizierte sowohl Ethereum als auch BNB Smart Chain als Plattformen, auf denen bereits bösartiger Code eingebettet ist, was es Hackern ermöglicht, diese Verträge als Vehikel für die Verbreitung von Malware zu nutzen.

Wie richtet sich EtherHiding an Krypto-Nutzer?

Laut Forschern funktioniert EtherHiding, indem es Code in öffentlichen Smart Contracts versteckt, der dann über JavaScript ausgelöst werden kann, das auf kompromittierten WordPress-Websites platziert wird.

Wenn ein Benutzer eine dieser mit Sprengfallen versehenen Websites besucht, wird ein kleines Ladeskript im Hintergrund in seinem Browser ausgeführt.

Anschließend erreicht das Skript die Blockchain, ohne Spuren in der Kette zu hinterlassen, da es schreibgeschützte Aufrufe wie eth_call verwendet und bösartige Anweisungen aus dem Smart Contract abruft, die dann an von Angreifern kontrollierte Server umgeleitet werden, die die vollständige Malware-Nutzlast an das Gerät des Benutzers liefern.

Da die Interaktion mit der Blockchain keine Transaktionen generiert oder Gasgebühren verursacht, gibt es keine typischen Indikatoren, nach denen Sicherheitstools suchen könnten.

Sobald die Malware ausgeführt ist, kann sie verschiedene Formen annehmen, von gefälschten Anmeldeseiten, die darauf ausgelegt sind, Anmeldeinformationen zu sammeln, bis hin zu Infostealern und sogar Ransomware.

Und da die Malware die Blockchain als belastbares Backend verwendet, ist es erheblich schwieriger, die Kampagne zu beenden, sobald sie im Gange ist.

Die Folgen sind gravierend, insbesondere angesichts der Tatsache, dass Nordkorea in der Vergangenheit Cyberkriminalität genutzt hat, um seine Waffenprogramme zu finanzieren und Sanktionen zu umgehen.

Nordkoreanische Hacker sind nach wie vor eine ständige Bedrohung

Im Laufe der Jahre haben sich die Hackereinheiten in Pjöngjang einen Ruf für ihre Raffinesse erarbeitet und setzen eine breite Palette von Social-Engineering-Tricks und bösartiger Software ein, um Krypto-Plattformen und Finanzinstitute zu knacken.

Von der Ausgebung als Entwickler, die sich um Jobs bewerben , um Unternehmen zu infiltrieren, bis hin zur Verführung von Opfern zur Teilnahme an gefälschten Podcast-Interviews haben nordkoreanische Bedrohungsakteure immer wieder Geduld und Kreativität bei der Durchführung langfristiger Infiltrationskampagnen bewiesen.

In den letzten Monaten haben sie sogar auf das Outsourcing von Teilen ihrer Geschäftstätigkeit zurückgegriffen.

Früheren Berichten zufolge haben nordkoreanische Gruppen damit begonnen, nicht-koreanische Personen als Tarnpersonen anzuheuern, die ihnen helfen, Interviews zu bestehen und Insider-Zugang zu Kryptofirmen zu erhalten.

Aber Nordkorea ist nicht das einzige Land, das sich Smart Contracts für böswillige Zwecke zuwendet.

In einer separaten Kampagne, die Anfang 2025 von ReversingLabs aufgedeckt wurde, wurden Angreifer dabei ertappt, dass sie npm-Pakete verwendeten, um Smart Contracts auf Ethereum zu laden, die wiederum URLs hosteten, die zur Bereitstellung von Nutzlasten der zweiten Stufe verwendet wurden, die auf Krypto-Nutzer abzielen.