Penggodam Korea Utara membenamkan perisian hasad dalam kontrak pintar Ethereum dan BNB

Penggodam Korea Utara menggunakan perisian hasad baharu yang boleh bersembunyi dalam kontrak pintar blockchain untuk menyedut mata wang kripto secara senyap-senyap.

Digelar EtherHiding, perisian hasad itu telah aktif sejak sekurang-kurangnya September 2023, menurut laporan baru-baru ini daripada Kumpulan Perisikan Ancaman Google. 

Walaupun ia sebelum ini dilihat dalam kempen bermotifkan kewangan oleh penjenayah siber, ini adalah kali pertama penyelidik memerhatikan pelakon negara bangsa menggunakannya. 

Dalam penemuan terbarunya, Google mengaitkan penggunaan perisian hasad itu dengan UNC5342, kumpulan ancaman yang dikaitkan dengan unit penggodaman terkenal Korea Utara, FamousChollima.

Penyelidik Google memberi amaran bahawa EtherHiding memperkenalkan cabaran baharu untuk pembela, kerana ia memintas kaedah tradisional untuk meneutralkan kempen berniat jahat. 

Tidak seperti infrastruktur perisian hasad biasa, yang selalunya boleh terganggu dengan menyekat alamat IP yang diketahui atau menurunkan domain, kontrak pintar beroperasi secara autonomi pada rangkaian blockchain dan tidak boleh dialih keluar atau diubah sebaik sahaja digunakan. 

Pasukan itu memilih kedua-dua Ethereum dan BNB Smart Chain sebagai platform di mana kod berniat jahat telah pun dibenamkan, membolehkan penggodam menggunakan kontrak ini sebagai kenderaan untuk mengedarkan perisian hasad.

Bagaimanakah EtherHiding menyasarkan pengguna kripto?

Menurut penyelidik, EtherHiding berfungsi dengan menyembunyikan kod dalam kontrak pintar awam, yang kemudiannya boleh dicetuskan melalui JavaScript yang ditanam pada tapak web WordPress yang terjejas. 

Apabila pengguna melawat salah satu tapak yang terperangkap ini, skrip pemuat kecil berjalan secara senyap dalam penyemak imbas mereka.

Selepas itu, skrip itu menjangkau rantaian blok, tanpa meninggalkan sebarang kesan dalam rantaian, kerana ia menggunakan panggilan baca sahaja seperti eth_call, dan menarik arahan berniat jahat daripada kontrak pintar, yang kemudiannya mengubah hala ke pelayan yang dikawal penyerang yang menghantar muatan perisian hasad penuh ke peranti pengguna.

Oleh kerana interaksi dengan blockchain tidak menjana sebarang transaksi atau dikenakan yuran gas, ia tidak meninggalkan penunjuk biasa yang mungkin dicari oleh alat keselamatan.

Sebaik sahaja perisian hasad dilaksanakan, ia boleh mengambil pelbagai bentuk, daripada halaman log masuk palsu yang direka untuk menuai kelayakan kepada pencuri maklumat dan juga perisian tebusan. 

Dan memandangkan perisian hasad menggunakan blockchain sebagai bahagian belakang yang berdaya tahan, ia menjadikannya lebih sukar untuk menutup kempen sebaik sahaja ia dijalankan.

Implikasinya serius, terutamanya memandangkan sejarah Korea Utara menggunakan jenayah siber untuk membiayai program senjatanya dan mengelak sekatan.

Penggodam Korea Utara kekal sebagai ancaman yang konsisten

Selama bertahun-tahun, unit penggodaman Pyongyang telah membangunkan reputasi untuk kecanggihan, menggunakan pelbagai helah kejuruteraan sosial dan perisian berniat jahat untuk melanggar platform kripto dan institusi kewangan.

Daripada menyamar sebagai pembangun yang memohon pekerjaan untuk menyusup ke syarikat kepada menipu mangsa untuk menyertai temu bual podcast palsu, pelaku ancaman Korea Utara secara konsisten menunjukkan kesabaran dan kreativiti dalam melaksanakan kempen penyusupan jangka panjang.

Dalam beberapa bulan kebelakangan ini, mereka juga telah menggunakan penyumberan luar bahagian operasi mereka.

Menurut laporan lalu, kumpulan Korea Utara telah mula mengupah individu bukan Korea untuk bertindak sebagai barisan hadapan, membantu mereka lulus temu duga dan mendapatkan akses orang dalam kepada firma kripto.

Tetapi Korea Utara tidak bersendirian dalam beralih kepada kontrak pintar untuk tujuan berniat jahat.

Dalam kempen berasingan yang ditemui pada awal tahun 2025 oleh ReversingLabs, penyerang didapati menggunakan pakej npm untuk memuatkan kontrak pintar pada Ethereum, yang seterusnya menghoskan URL yang digunakan untuk menyampaikan muatan peringkat kedua yang menyasarkan pengguna kripto.