Gli hacker nordcoreani hanno incorporato malware negli smart contract di Ethereum e BNB

Gli hacker nordcoreani stanno utilizzando un nuovo malware che può nascondersi all'interno degli smart contract blockchain per sottrarre furtivamente criptovalute.

Soprannominato EtherHiding, il malware è attivo almeno da settembre 2023, secondo un recente rapporto del Threat Intelligence Group di Google.

Sebbene sia stato precedentemente individuato in campagne motivate finanziariamente da criminali informatici, questa è la prima volta che i ricercatori hanno osservato un attore statale-nazione che lo implementa.

Nelle sue ultime scoperte, Google ha collegato l'uso del malware a UNC5342, un gruppo di minacce associato alla famigerata unità di hacking della Corea del Nord, FamousChollima.

I ricercatori di Google hanno avvertito che EtherHiding introduce nuove sfide per i difensori, poiché aggira i metodi tradizionali di neutralizzazione delle campagne dannose.

A differenza della tipica infrastruttura malware, che spesso può essere interrotta bloccando gli indirizzi IP noti o disattivando i domini, gli smart contract operano in modo autonomo sulle reti blockchain e non possono essere rimossi o modificati una volta distribuiti.

Il team ha individuato sia Ethereum che BNB Smart Chain come piattaforme in cui è già stato incorporato codice dannoso, consentendo agli hacker di utilizzare questi contratti come veicoli per distribuire malware.

In che modo EtherHiding si rivolge agli utenti di criptovalute?

Secondo i ricercatori, EtherHiding funziona nascondendo il codice all'interno di smart contract pubblici, che possono poi essere attivati tramite JavaScript impiantato su siti Web WordPress compromessi.

Quando un utente visita uno di questi siti esplosive, un piccolo script di caricamento viene eseguito silenziosamente nel browser.

Successivamente, lo script raggiunge la blockchain, senza lasciare tracce on-chain, poiché utilizza chiamate di sola lettura come eth_call ed estrae istruzioni dannose dallo smart contract, che poi reindirizzano a server controllati da aggressori che forniscono l'intero payload del malware al dispositivo dell'utente.

Poiché l'interazione con la blockchain non genera alcuna transazione né comporta commissioni sul gas, non lascia indicatori tipici che gli strumenti di sicurezza potrebbero cercare.

Una volta che il malware viene eseguito, può assumere varie forme, che vanno da pagine di accesso false progettate per raccogliere credenziali a infostealer e persino ransomware.

E poiché il malware utilizza la blockchain come back-end resiliente, rende significativamente più difficile chiudere la campagna una volta che è in corso.

Le implicazioni sono gravi, soprattutto data la storia della Corea del Nord nell'uso del crimine informatico per finanziare i suoi programmi di armamento ed eludere le sanzioni.

Gli hacker nordcoreani sono rimasti una minaccia costante

Nel corso degli anni, le unità di hacking di Pyongyang hanno sviluppato una reputazione di sofisticatezza, implementando un'ampia gamma di trucchi di ingegneria sociale e software dannosi per violare le piattaforme crittografiche e le istituzioni finanziarie.

Dal fingersi sviluppatori che si candidano per infiltrarsi nelle aziende all'indurre le vittime a partecipare a false interviste in podcast, gli attori delle minacce nordcoreani hanno costantemente dimostrato pazienza e creatività nell'esecuzione di campagne di infiltrazione a lungo termine.

Negli ultimi mesi, hanno persino fatto ricorso all'esternalizzazione di parti delle loro operazioni.

Secondo rapporti passati, i gruppi nordcoreani hanno iniziato ad assumere individui non coreani per fungere da facciate, aiutandoli a superare colloqui e ottenere l'accesso privilegiato alle società di criptovalute.

Ma la Corea del Nord non è la sola a rivolgersi agli smart contract per scopi dannosi.

In una campagna separata scoperta all'inizio del 2025 da ReversingLabs, gli aggressori sono stati trovati a utilizzare pacchetti npm per caricare contratti intelligenti su Ethereum, che a loro volta ospitavano URL utilizzati per fornire payload di seconda fase che prendono di mira gli utenti di criptovalute.