Nordkoreanske hackere innebygd skadelig programvare i Ethereum og BNB smarte kontrakter

Nordkoreanske hackere bruker en ny skadelig programvare som kan gjemme seg i blockchain-smarte kontrakter for å snike kryptovalutaer.

Kalt EtherHiding, har skadelig programvare vært aktiv siden minst september 2023, ifølge en fersk rapport fra Googles Threat Intelligence Group.

Selv om det tidligere ble oppdaget i økonomisk motiverte kampanjer av nettkriminelle, er dette første gang forskere har observert en nasjonalstatlig aktør som bruker det.

I sine siste funn koblet Google bruken av skadelig programvare til UNC5342, en trusselgruppe assosiert med Nord-Koreas beryktede hackingenhet, FamousChollima.

Googles forskere advarte om at EtherHiding introduserer nye utfordringer for forsvarere, siden det omgår tradisjonelle metoder for å nøytralisere ondsinnede kampanjer.

I motsetning til typisk skadelig programvareinfrastruktur, som ofte kan forstyrres ved å blokkere kjente IP-adresser eller ta ned domener, fungerer smarte kontrakter autonomt på blokkjedenettverk og kan ikke fjernes eller endres når de først er distribuert.

Teamet pekte ut både Ethereum og BNB Smart Chain som plattformer der ondsinnet kode allerede er innebygd, slik at hackere kan bruke disse kontraktene som kjøretøy for å distribuere skadelig programvare.

Hvordan retter EtherHiding seg mot kryptobrukere?

Ifølge forskere fungerer EtherHiding ved å skjule kode i offentlige smarte kontrakter, som deretter kan utløses via JavaScript plantet på kompromitterte WordPress-nettsteder.

Når en bruker besøker et av disse booby-fangede nettstedene, kjører et lite lasterskript stille i nettleseren.

Deretter når skriptet ut til blokkjeden, uten å etterlate spor på kjeden, siden det bruker skrivebeskyttede anrop som eth_call, og henter ondsinnede instruksjoner fra smartkontrakten, som deretter omdirigerer til angriperkontrollerte servere som leverer hele nyttelasten for skadelig programvare til brukerens enhet.

Fordi interaksjonen med blokkjeden ikke genererer noen transaksjoner eller pådrar seg gassgebyrer, etterlater den ingen typiske indikatorer som sikkerhetsverktøy kan se etter.

Når skadelig programvare er utført, kan den ha forskjellige former, alt fra falske påloggingssider designet for å høste legitimasjon til infotyvere og til og med løsepengeprogramvare.

Og siden skadelig programvare bruker blokkjede som en spenstig backend, gjør det det betydelig vanskeligere å stenge kampanjen når den først er i gang.

Implikasjonene er alvorlige, spesielt gitt Nord-Koreas historie med å bruke nettkriminalitet til å finansiere sine våpenprogrammer og unngå sanksjoner.

Nordkoreanske hackere har forblitt en konsekvent trussel

Gjennom årene har Pyongyangs hackingenheter utviklet et rykte for raffinement, og distribuert et bredt spekter av sosiale ingeniørtriks og ondsinnet programvare for å bryte seg inn på kryptoplattformer og finansinstitusjoner.

Fra å utgi seg for å være utviklere som søker på jobber for å infiltrere selskaper til å lure ofre til å bli med i falske podcastintervjuer, har nordkoreanske trusselaktører konsekvent vist tålmodighet og kreativitet i å gjennomføre langsiktige infiltrasjonskampanjer.

De siste månedene har de til og med tydd til å outsource deler av driften.

I følge tidligere rapporter har nordkoreanske grupper begynt å ansette ikke-koreanske individer til å fungere som fronter, hjelpe dem med å bestå intervjuer og få innsidetilgang til kryptofirmaer.

Men Nord-Korea er ikke alene om å ty til smarte kontrakter for ondsinnede formål.

I en egen kampanje avdekket tidligere i 2025 av ReversingLabs, ble angripere funnet ved å bruke npm-pakker for å laste smarte kontrakter på Ethereum, som igjen var vert for nettadresser som ble brukt til å levere andretrinns nyttelast som retter seg mot kryptobrukere.