Hakerzy z Korei Północnej umieścili złośliwe oprogramowanie w inteligentnych kontraktach Ethereum i BNB

Hakerzy z Korei Północnej używają nowego złośliwego oprogramowania, które może ukrywać się w inteligentnych kontraktach blockchain, aby potajemnie wyprowadzać kryptowaluty.

Złośliwe oprogramowanie, nazwane EtherHiding, jest aktywne od co najmniej września 2023 r., zgodnie z niedawnym raportem Google Threat Intelligence Group.

Chociaż wcześniej został zauważony w kampaniach motywowanych finansowo przez cyberprzestępców, po raz pierwszy badacze zaobserwowali, że wykorzystuje go podmiot z państw narodowych.

W swoich najnowszych ustaleniach Google powiązał wykorzystanie złośliwego oprogramowania z UNC5342, grupą zagrożeń powiązaną z niesławną jednostką hakerską Korei Północnej, FamousChollima.

Badacze Google ostrzegli, że EtherHiding stawia przed obrońcami nowe wyzwania, ponieważ omija tradycyjne metody neutralizacji złośliwych kampanii.

W przeciwieństwie do typowej infrastruktury złośliwego oprogramowania, która często może zostać zakłócona przez blokowanie znanych adresów IP lub usuwanie domen, inteligentne kontrakty działają autonomicznie w sieciach blockchain i nie można ich usunąć ani zmienić po wdrożeniu.

Zespół wyróżnił zarówno Ethereum, jak i BNB Smart Chain jako platformy, na których został już osadzony złośliwy kod, umożliwiając hakerom wykorzystanie tych kontraktów jako narzędzi do dystrybucji złośliwego oprogramowania.

W jaki sposób EtherHiding atakuje użytkowników kryptowalut?

Według badaczy, EtherHiding działa poprzez ukrywanie kodu w publicznych inteligentnych kontraktach, który może być następnie uruchamiany przez JavaScript umieszczony na zaatakowanych witrynach WordPress.

Gdy użytkownik odwiedza jedną z tych witryn z pułapkami, mały skrypt ładujący działa cicho w jego przeglądarce.

Następnie skrypt dociera do łańcucha bloków, nie pozostawiając żadnych śladów w łańcuchu, ponieważ wykorzystuje wywołania tylko do odczytu, takie jak eth_call, i pobiera złośliwe instrukcje z inteligentnego kontraktu, które następnie przekierowują do serwerów kontrolowanych przez atakujących, które dostarczają pełny ładunek złośliwego oprogramowania na urządzenie użytkownika.

Ponieważ interakcja z blockchainem nie generuje żadnych transakcji ani nie wiąże się z opłatami za gaz, nie pozostawia typowych wskaźników, których mogą szukać narzędzia bezpieczeństwa.

Po uruchomieniu złośliwe oprogramowanie może przybierać różne formy, od fałszywych stron logowania zaprojektowanych w celu zbierania danych uwierzytelniających po złodziei informacji, a nawet oprogramowanie ransomware.

A ponieważ złośliwe oprogramowanie wykorzystuje blockchain jako odporny backend, znacznie utrudnia zamknięcie kampanii, gdy jest już w toku.

Implikacje są poważne, zwłaszcza biorąc pod uwagę historię wykorzystywania cyberprzestępczości przez Koreę Północną do finansowania swoich programów zbrojeniowych i unikania sankcji.

Hakerzy z Korei Północnej pozostają stałym zagrożeniem

Z biegiem lat jednostki hakerskie Pjongjangu zyskały reputację wyrafinowanych, wdrażając szeroką gamę sztuczek socjotechnicznych i złośliwego oprogramowania w celu włamania się do platform kryptowalutowych i instytucji finansowych.

Od podszywania się pod programistów ubiegających się o pracę w celu infiltracji firm po nakłanianie ofiar do dołączenia do fałszywych wywiadów w podcastach, północnokoreańscy cyberprzestępcy konsekwentnie wykazywali się cierpliwością i kreatywnością w przeprowadzaniu długoterminowych kampanii infiltracyjnych.

W ostatnich miesiącach uciekli się nawet do outsourcingu części swoich operacji.

Zgodnie z wcześniejszymi doniesieniami, grupy północnokoreańskie zaczęły zatrudniać osoby spoza Korei do działania jako przykrywki, pomagając im przejść rozmowy kwalifikacyjne i uzyskać dostęp do firm kryptograficznych.

Ale Korea Północna nie jest jedyną krajem, który zwraca się do inteligentnych kontraktów w złych celach.

W osobnej kampanii odkrytej wcześniej w 2025 r. przez ReversingLabs, atakujący używali pakietów npm do ładowania inteligentnych kontraktów na Ethereum, które z kolei hostowały adresy URL używane do dostarczania ładunków drugiego etapu, które są skierowane do użytkowników kryptowalut.