Des pirates nord-coréens ont intégré des logiciels malveillants dans les contrats intelligents Ethereum et BNB

Les pirates nord-coréens utilisent un nouveau logiciel malveillant qui peut se cacher dans les contrats intelligents de la blockchain pour siphonner furtivement les crypto-monnaies.

Surnommé EtherHiding, le logiciel malveillant est actif depuis au moins septembre 2023, selon un récent rapport du Threat Intelligence Group de Google.

Alors qu’il avait déjà été repéré dans des campagnes à motivation financière par des cybercriminels, c’est la première fois que les chercheurs observent un acteur étatique le déployer.

Dans ses dernières découvertes, Google a lié l’utilisation du logiciel malveillant à UNC5342, un groupe de menaces associé à la tristement célèbre unité de piratage de la Corée du Nord, FamousChollima.

Les chercheurs de Google ont averti qu’EtherHiding présente de nouveaux défis pour les défenseurs, car il contourne les méthodes traditionnelles de neutralisation des campagnes malveillantes.

Contrairement aux infrastructures de logiciels malveillants classiques, qui peuvent souvent être perturbées en bloquant des adresses IP connues ou en supprimant des domaines, les contrats intelligents fonctionnent de manière autonome sur les réseaux blockchain et ne peuvent pas être supprimés ou modifiés une fois déployés.

L’équipe a identifié Ethereum et BNB Smart Chain comme des plateformes où du code malveillant a déjà été intégré, permettant aux pirates d’utiliser ces contrats comme véhicules pour distribuer des logiciels malveillants.

Comment EtherHiding cible-t-il les utilisateurs de crypto-monnaies ?

Selon les chercheurs, EtherHiding fonctionne en cachant du code dans des contrats intelligents publics, qui peuvent ensuite être déclenchés via JavaScript planté sur des sites Web WordPress compromis.

Lorsqu’un utilisateur visite l’un de ces sites piégés, un petit script de chargement s’exécute silencieusement dans son navigateur.

Par la suite, le script s’adresse à la blockchain, sans laisser de traces sur la chaîne, puisqu’il utilise des appels en lecture seule comme eth_call, et extrait des instructions malveillantes du contrat intelligent, qui redirigent ensuite vers des serveurs contrôlés par l’attaquant qui fournissent la charge utile complète du logiciel malveillant à l’appareil de l’utilisateur.

Étant donné que l’interaction avec la blockchain ne génère aucune transaction ni n’entraîne de frais de gaz, elle ne laisse aucun indicateur typique que les outils de sécurité pourraient rechercher.

Une fois le logiciel malveillant exécuté, il peut prendre diverses formes, allant de fausses pages de connexion conçues pour récolter des informations d’identification à des voleurs d’informations et même des ransomwares.

Et comme le logiciel malveillant utilise la blockchain comme backend résilient, il est beaucoup plus difficile de mettre fin à la campagne une fois qu’elle est en cours.

Les implications sont graves, surtout compte tenu de l’histoire de la Corée du Nord qui utilise la cybercriminalité pour financer ses programmes d’armement et échapper aux sanctions.

Les pirates informatiques nord-coréens sont restés une menace constante

Au fil des ans, les unités de piratage de Pyongyang ont acquis une réputation de sophistication, déployant un large éventail d’astuces d’ingénierie sociale et de logiciels malveillants pour pénétrer dans les plateformes de crypto-monnaies et les institutions financières.

Qu’il s’agisse de se faire passer pour des développeurs postulant à des emplois pour infiltrer des entreprises ou d’inciter les victimes à participer à de fausses interviews de podcasts, les acteurs de la menace nord-coréens ont toujours fait preuve de patience et de créativité dans l’exécution de campagnes d’infiltration à long terme.

Au cours des derniers mois, ils ont même eu recours à l’externalisation de certaines parties de leurs opérations.

Selon des rapports antérieurs, des groupes nord-coréens ont commencé à embaucher des personnes non coréennes pour servir de façade, les aidant à passer des entretiens et à obtenir un accès privilégié aux entreprises de cryptomonnaies.

Mais la Corée du Nord n’est pas la seule à se tourner vers les contrats intelligents à des fins malveillantes.

Dans une campagne distincte découverte plus tôt en 2025 par ReversingLabs, des attaquants ont été trouvés en train d’utiliser des packages npm pour charger des contrats intelligents sur Ethereum, qui à leur tour hébergeaient des URL utilisées pour fournir des charges utiles de deuxième étape qui ciblent les utilisateurs de cryptomonnaies.