Pohjoiskorealaiset hakkerit upottivat haittaohjelmia Ethereumin ja BNB:n älykkäisiin sopimuksiin

Pohjoiskorealaiset hakkerit käyttävät uutta haittaohjelmaa, joka voi piiloutua lohkoketjun älykkäisiin sopimuksiin kryptovaluuttojen salaperäiseen imemiseen.

EtherHidingiksi kutsuttu haittaohjelma on ollut aktiivinen ainakin syyskuusta 2023 lähtien Googlen Threat Intelligence Groupin tuoreen raportin mukaan.

Vaikka se havaittiin aiemmin kyberrikollisten taloudellisesti motivoituneissa kampanjoissa, tämä on ensimmäinen kerta, kun tutkijat ovat havainneet kansallisvaltion toimijan käyttävän sitä.

Viimeisimmissä löydöksissään Google yhdisti haittaohjelman käytön UNC5342-uhkaryhmään, joka liittyy Pohjois-Korean surullisen kuuluisaan hakkerointiyksikköön, FamousChollimaan.

Googlen tutkijat varoittivat, että EtherHiding tuo uusia haasteita puolustajille, koska se ohittaa perinteiset menetelmät haitallisten kampanjoiden neutraloimiseksi.

Toisin kuin tyypillinen haittaohjelmainfrastruktuuri, joka voi usein häiriintyä estämällä tunnetut IP-osoitteet tai poistamalla verkkotunnuksia, älykkäät sopimukset toimivat itsenäisesti lohkoketjuverkoissa, eikä niitä voida poistaa tai muuttaa käyttöönoton jälkeen.

Tiimi nosti esiin sekä Ethereumin että BNB Smart Chainin alustoina, joihin on jo upotettu haitallista koodia, jolloin hakkerit voivat käyttää näitä sopimuksia haittaohjelmien levittämiseen.

Miten EtherHiding kohdistuu kryptokäyttäjiin?

Tutkijoiden mukaan EtherHiding toimii piilottamalla koodin julkisiin älykkäisiin sopimuksiin, jotka voidaan sitten käynnistää vaarantuneille WordPress-verkkosivustoille istutetun JavaScriptin avulla.

Kun käyttäjä vierailee jollakin näistä ansaan jääneistä sivustoista, pieni latauskomentosarja toimii äänettömästi hänen selaimessaan.

Tämän jälkeen komentosarja ulottuu lohkoketjuun jättämättä jälkiä ketjuun, koska se käyttää vain luku -kutsuja, kuten eth_call, ja hakee haitallisia ohjeita älysopimuksesta, jotka sitten ohjaavat hyökkääjien hallitsemille palvelimille, jotka toimittavat koko haittaohjelman hyötykuorman käyttäjän laitteelle.

Koska vuorovaikutus lohkoketjun kanssa ei tuota transaktioita tai aiheuta kaasumaksuja, se ei jätä tyypillisiä indikaattoreita, joita tietoturvatyökalut voisivat etsiä.

Kun haittaohjelma on suoritettu, se voi esiintyä eri muodoissa, aina väärennetyistä kirjautumissivuista, jotka on suunniteltu keräämään tunnistetietoja, tietovarastajiin ja jopa kiristysohjelmiin.

Ja koska haittaohjelma käyttää lohkoketjua joustavana taustajärjestelmänä, se vaikeuttaa huomattavasti kampanjan sulkemista, kun se on käynnissä.

Seuraukset ovat vakavia, varsinkin kun otetaan huomioon, että Pohjois-Korea on käyttänyt kyberrikollisuutta aseohjelmiensa rahoittamiseen ja pakotteiden kiertämiseen.

Pohjois-Korean hakkerit ovat pysyneet jatkuvana uhkana

Vuosien varrella Pjongjangin hakkerointiyksiköt ovat kehittäneet mainetta hienostuneina, ja ne ovat käyttäneet monenlaisia manipulointitemppuja ja haittaohjelmia murtautuakseen kryptoalustoihin ja rahoituslaitoksiin.

Pohjois-Korean uhkatoimijat ovat jatkuvasti osoittaneet kärsivällisyyttä ja luovuutta pitkäaikaisten soluttautumiskampanjoiden toteuttamisessa pyrittäjinä hakijoina yrityksiin soluttautumiseen ja uhrien huijaamiseen liittymään väärennettyihin podcast-haastatteluihin.

Viime kuukausina he ovat jopa ulkoistaneet osia toiminnoistaan.

Aiempien raporttien mukaan pohjoiskorealaiset ryhmät ovat alkaneet palkata ei-korealaisia henkilöitä toimimaan julkisivuina, auttamaan heitä läpäisemään haastatteluja ja pääsemään sisäpiiriin kryptoyrityksiin.

Mutta Pohjois-Korea ei ole ainoa, joka turvautuu älykkäisiin sopimuksiin haitallisiin tarkoituksiin.

ReversingLabsin aiemmin vuonna 2025 paljastamassa erillisessä kampanjassa hyökkääjien havaittiin käyttävän npm-paketteja älykkäiden sopimusten lataamiseen Ethereumiin, jotka puolestaan isännöivät URL-osoitteita, joita käytettiin kryptokäyttäjille suunnattujen toisen vaiheen hyötykuormien toimittamiseen.