Noord-Koreaanse hackers hebben malware ingebed in slimme contracten van Ethereum en BNB

Noord-Koreaanse hackers gebruiken een nieuwe malware die zich kan verbergen in slimme blockchain-contracten om stiekem cryptocurrencies over te hevelen.

De malware, genaamd EtherHiding, is actief sinds ten minste september 2023, volgens een recent rapport van Google's Threat Intelligence Group.

Hoewel het eerder werd opgemerkt in financieel gemotiveerde campagnes van cybercriminelen, is dit de eerste keer dat onderzoekers hebben waargenomen dat een actor van een natiestaat het inzet.

In zijn laatste bevindingen koppelde Google het gebruik van de malware aan UNC5342, een bedreigingsgroep die banden heeft met de beruchte hackeenheid van Noord-Korea, FamousChollima.

De onderzoekers van Google waarschuwden dat EtherHiding nieuwe uitdagingen voor verdedigers introduceert, omdat het traditionele methoden omzeilt om kwaadaardige campagnes te neutraliseren.

In tegenstelling tot typische malware-infrastructuur, die vaak kan worden verstoord door bekende IP-adressen te blokkeren of domeinen uit de lucht te halen, werken slimme contracten autonoom op blockchain-netwerken en kunnen ze niet worden verwijderd of gewijzigd nadat ze zijn geïmplementeerd.

Het team noemde zowel Ethereum als BNB Smart Chain als platforms waar al kwaadaardige code is ingebed, waardoor hackers deze contracten kunnen gebruiken als voertuigen om malware te verspreiden.

Hoe richt EtherHiding zich op crypto-gebruikers?

Volgens onderzoekers functioneert EtherHiding door code te verbergen in openbare slimme contracten, die vervolgens kunnen worden geactiveerd via JavaScript dat op gecompromitteerde WordPress-websites is geplant.

Wanneer een gebruiker een van deze sites met boobytraps bezoekt, wordt een small loader-script op de achtergrond uitgevoerd in de browser.

Vervolgens neemt het script contact op met de blockchain, zonder sporen achter te laten op de keten, omdat het alleen-lezen aanroepen zoals eth_call gebruikt en kwaadaardige instructies uit het slimme contract haalt, die vervolgens worden omgeleid naar door de aanvaller gecontroleerde servers die de volledige malware-payload op het apparaat van de gebruiker afleveren.

Omdat de interactie met de blockchain geen transacties genereert of gaskosten met zich meebrengt, blijven er geen typische indicatoren over waar beveiligingstools naar op zoek zouden kunnen zijn.

Zodra de malware is uitgevoerd, kan deze verschillende vormen aannemen, variërend van valse inlogpagina's die zijn ontworpen om inloggegevens te verzamelen tot infostealers en zelfs ransomware.

En aangezien de malware blockchain gebruikt als een veerkrachtige backend, wordt het aanzienlijk moeilijker om de campagne af te sluiten als deze eenmaal aan de gang is.

De implicaties zijn ernstig, vooral gezien de geschiedenis van Noord-Korea van het gebruik van cybercriminaliteit om zijn wapenprogramma's te financieren en sancties te omzeilen.

Noord-Koreaanse hackers zijn een constante dreiging gebleven

In de loop der jaren hebben de hackeenheden van Pyongyang een reputatie van verfijning opgebouwd en een breed scala aan social engineering-trucs en kwaadaardige software ingezet om cryptoplatforms en financiële instellingen binnen te dringen.

Van het zich voordoen als ontwikkelaars die solliciteren om bedrijven te infiltreren tot het misleiden van slachtoffers om deel te nemen aan nep-podcast-interviews, Noord-Koreaanse dreigingsactoren hebben consequent geduld en creativiteit getoond bij het uitvoeren van langdurige infiltratiecampagnes.

De afgelopen maanden hebben ze zelfs hun toevlucht genomen tot het uitbesteden van delen van hun activiteiten.

Volgens eerdere rapporten zijn Noord-Koreaanse groepen begonnen met het inhuren van niet-Koreaanse personen om als dekmantel op te treden, hen te helpen interviews te doorstaan en insider-toegang te krijgen tot cryptobedrijven.

Maar Noord-Korea is niet de enige die zich tot slimme contracten wendt voor kwaadaardige doeleinden.

In een afzonderlijke campagne die eerder in 2025 door ReversingLabs werd ontdekt, werden aanvallers gevonden die npm-pakketten gebruikten om slimme contracten op Ethereum te laden, die op hun beurt URL's hostten die werden gebruikt om payloads van de tweede fase te leveren die gericht zijn op crypto-gebruikers.