Los piratas informáticos norcoreanos incrustaron malware en los contratos inteligentes de Ethereum y BNB

Los piratas informáticos norcoreanos están utilizando un nuevo malware que puede esconderse dentro de los contratos inteligentes de blockchain para desviar sigilosamente las criptomonedas.

Apodado EtherHiding, el malware ha estado activo desde al menos septiembre de 2023, según un informe reciente del Grupo de Inteligencia de Amenazas de Google.

Si bien se detectó anteriormente en campañas de ciberdelincuentes motivadas financieramente, esta es la primera vez que los investigadores observan que un actor de estado-nación lo implementa.

En sus últimos hallazgos, Google vinculó el uso del malware con UNC5342, un grupo de amenazas asociado con la infame unidad de piratería de Corea del Norte, FamousChollima.

Los investigadores de Google advirtieron que EtherHiding presenta nuevos desafíos para los defensores, ya que evita los métodos tradicionales de neutralización de campañas maliciosas.

A diferencia de la infraestructura de malware típica, que a menudo puede interrumpirse bloqueando direcciones IP conocidas o eliminando dominios, los contratos inteligentes operan de forma autónoma en las redes blockchain y no se pueden eliminar ni alterar una vez implementados.

El equipo señaló tanto a Ethereum como a BNB Smart Chain como plataformas en las que ya se ha incrustado código malicioso, lo que permite a los piratas informáticos utilizar estos contratos como vehículos para distribuir malware.

¿Cómo se dirige EtherHiding a los usuarios de criptomonedas?

Según los investigadores, EtherHiding funciona ocultando código dentro de contratos inteligentes públicos, que luego se pueden activar a través de JavaScript plantado en sitios web de WordPress comprometidos.

Cuando un usuario visita uno de estos sitios con trampas explosivas, un pequeño script de carga se ejecuta silenciosamente en su navegador.

Posteriormente, el script llega a la cadena de bloques, sin dejar ningún rastro en la cadena, ya que utiliza llamadas de solo lectura como eth_call, y extrae instrucciones maliciosas del contrato inteligente, que luego redirigen a servidores controlados por atacantes que entregan la carga útil completa de malware al dispositivo del usuario.

Debido a que la interacción con la cadena de bloques no genera ninguna transacción ni incurre en tarifas de gas, no deja indicadores típicos que las herramientas de seguridad puedan buscar.

Una vez que se ejecuta el malware, puede tomar varias formas, que van desde páginas de inicio de sesión falsas diseñadas para recopilar credenciales hasta ladrones de información e incluso ransomware.

Y dado que el malware utiliza blockchain como un backend resistente, hace que sea significativamente más difícil cerrar la campaña una vez que está en marcha.

Las implicaciones son graves, especialmente dado el historial de Corea del Norte de utilizar el delito cibernético para financiar sus programas de armas y evadir sanciones.

Los piratas informáticos norcoreanos han seguido siendo una amenaza constante

A lo largo de los años, las unidades de piratería de Pyongyang han desarrollado una reputación de sofisticación, implementando una amplia gama de trucos de ingeniería social y software malicioso para violar las plataformas criptográficas y las instituciones financieras.

Desde hacerse pasar por desarrolladores que solicitan trabajos para infiltrarse en empresas hasta engañar a las víctimas para que se unan a entrevistas de podcasts falsos, los actores de amenazas de Corea del Norte han demostrado constantemente paciencia y creatividad en la ejecución de campañas de infiltración a largo plazo.

En los últimos meses, incluso han recurrido a la subcontratación de partes de sus operaciones.

Según informes anteriores, los grupos norcoreanos han comenzado a contratar a personas no coreanas para que actúen como fachadas, ayudándoles a pasar entrevistas y obtener acceso privilegiado a las empresas de criptomonedas.

Pero Corea del Norte no es la única que recurre a los contratos inteligentes con fines maliciosos.

En una campaña separada descubierta a principios de 2025 por ReversingLabs, se descubrió que los atacantes usaban paquetes npm para cargar contratos inteligentes en Ethereum, que a su vez alojaban URL utilizadas para entregar cargas útiles de segunda etapa dirigidas a usuarios de criptomonedas.