Hackers norte-coreanos incorporaram malware em contratos inteligentes Ethereum e BNB

Os hackers norte-coreanos estão usando um novo malware que pode se esconder em contratos inteligentes de blockchain para desviar criptomoedas furtivamente.

Apelidado de EtherHiding, o malware está ativo desde pelo menos setembro de 2023, de acordo com um relatório recente do Grupo de Inteligência de Ameaças do Google.

Embora tenha sido detectado anteriormente em campanhas com motivação financeira por cibercriminosos, esta é a primeira vez que os pesquisadores observaram um ator de estado-nação implantando-o.

Em suas últimas descobertas, o Google vinculou o uso do malware ao UNC5342, um grupo de ameaças associado à infame unidade de hackers da Coreia do Norte, FamousChollima.

Os pesquisadores do Google alertaram que o EtherHiding apresenta novos desafios para os defensores, uma vez que ignora os métodos tradicionais de neutralização de campanhas maliciosas.

Ao contrário da infraestrutura típica de malware, que muitas vezes pode ser interrompida bloqueando endereços IP conhecidos ou derrubando domínios, os contratos inteligentes operam de forma autônoma em redes blockchain e não podem ser removidos ou alterados depois de implantados.

A equipe destacou o Ethereum e o BNB Smart Chain como plataformas onde o código malicioso já foi incorporado, permitindo que os hackers usem esses contratos como veículos para distribuir malware.

Como o EtherHiding tem como alvo os usuários de criptomoedas?

De acordo com os pesquisadores, o EtherHiding funciona ocultando o código em contratos inteligentes públicos, que podem ser acionados via JavaScript plantado em sites WordPress comprometidos.

Quando um usuário visita um desses sites com armadilhas, um pequeno script de carregador é executado silenciosamente em seu navegador.

Posteriormente, o script chega ao blockchain, sem deixar rastros na cadeia, pois usa chamadas somente leitura como eth_call e extrai instruções maliciosas do contrato inteligente, que redirecionam para servidores controlados pelo invasor que entregam a carga útil completa do malware ao dispositivo do usuário.

Como a interação com o blockchain não gera transações ou incorre em taxas de gás, ela não deixa indicadores típicos que as ferramentas de segurança possam procurar.

Depois que o malware é executado, ele pode assumir várias formas, desde páginas de login falsas projetadas para coletar credenciais até infostealers e até ransomware.

E como o malware usa blockchain como um back-end resiliente, fica significativamente mais difícil encerrar a campanha depois que ela está em andamento.

As implicações são sérias, especialmente devido ao histórico da Coreia do Norte de usar crimes cibernéticos para financiar seus programas de armas e evitar sanções.

Os hackers norte-coreanos continuam sendo uma ameaça consistente

Ao longo dos anos, as unidades de hackers de Pyongyang desenvolveram uma reputação de sofisticação, implantando uma ampla gama de truques de engenharia social e software malicioso para violar plataformas de criptomoedas e instituições financeiras.

Desde se passar por desenvolvedores que se candidatam a empregos para se infiltrar em empresas até enganar as vítimas para que participem de entrevistas falsas em podcasts, os agentes de ameaças norte-coreanos demonstraram consistentemente paciência e criatividade na execução de campanhas de infiltração de longo prazo.

Nos últimos meses, eles até recorreram à terceirização de partes de suas operações.

De acordo com relatórios anteriores, grupos norte-coreanos começaram a contratar indivíduos não coreanos para atuar como fachadas, ajudando-os a passar em entrevistas e obter acesso privilegiado a empresas de criptomoedas.

Mas a Coreia do Norte não está sozinha em recorrer a contratos inteligentes para fins maliciosos.

Em uma campanha separada descoberta no início de 2025 pela ReversingLabs, os invasores foram encontrados usando pacotes npm para carregar contratos inteligentes no Ethereum, que por sua vez hospedava URLs usados para entregar cargas úteis de segundo estágio direcionadas a usuários de criptomoedas.