Hackerii nord-coreeni au încorporat malware în contractele inteligente Ethereum și BNB

Hackerii nord-coreeni folosesc un nou malware care se poate ascunde în contractele inteligente blockchain pentru a sifona pe furiș criptomonedele.

Denumit EtherHiding, malware-ul este activ cel puțin din septembrie 2023, potrivit unui raport recent al Threat Intelligence Group al Google. 

Deși a fost văzut anterior în campanii motivate financiar de către infractorii cibernetici, aceasta este prima dată când cercetătorii observă un actor național care îl implementează. 

În cele mai recente descoperiri ale sale, Google a legat utilizarea malware-ului de UNC5342, un grup de amenințări asociat cu infama unitate de hacking din Coreea de Nord, FamousChollima.

Cercetătorii Google au avertizat că EtherHiding introduce noi provocări pentru apărători, deoarece ocolește metodele tradiționale de neutralizare a campaniilor rău intenționate. 

Spre deosebire de infrastructura malware tipică, care poate fi adesea perturbată prin blocarea adreselor IP cunoscute sau eliminarea domeniilor, contractele inteligente funcționează autonom pe rețelele blockchain și nu pot fi eliminate sau modificate odată implementate. 

Echipa a evidențiat atât Ethereum, cât și BNB Smart Chain ca platforme în care a fost deja încorporat cod rău intenționat, permițând hackerilor să folosească aceste contracte ca vehicule pentru a distribui malware.

Cum vizează EtherHiding utilizatorii de criptomonede?

Potrivit cercetătorilor, EtherHiding funcționează prin ascunderea codului în contractele inteligente publice, care pot fi apoi declanșate prin JavaScript plantat pe site-uri WordPress compromise. 

Când un utilizator vizitează unul dintre aceste site-uri capcane, un mic script de încărcare rulează silențios în browserul său.

Ulterior, scriptul ajunge la blockchain, fără a lăsa urme pe lanț, deoarece folosește apeluri doar în citire, cum ar fi eth_call, și extrage instrucțiuni rău intenționate din contractul inteligent, care apoi redirecționează către serverele controlate de atacatori care livrează întreaga sarcină utilă a malware-ului pe dispozitivul utilizatorului.

Deoarece interacțiunea cu blockchain-ul nu generează tranzacții și nu atrage taxe de gaz, nu lasă indicatori tipici pe care instrumentele de securitate le-ar putea căuta.

Odată ce malware-ul este executat, acesta poate lua diferite forme, de la pagini de conectare false concepute pentru a colecta acreditări până la hoți de informații și chiar ransomware. 

Și din moment ce malware-ul folosește blockchain ca backend rezistent, este semnificativ mai dificilă închiderea campaniei odată ce este în desfășurare.

Implicațiile sunt grave, mai ales având în vedere istoricul Coreei de Nord de a folosi criminalitatea cibernetică pentru a-și finanța programele de arme și a evita sancțiunile.

Hackerii nord-coreeni au rămas o amenințare constantă

De-a lungul anilor, unitățile de hacking din Phenian și-au dezvoltat o reputație de sofisticare, implementând o gamă largă de trucuri de inginerie socială și software rău intenționat pentru a sparge platformele cripto și instituțiile financiare.

De la a se da drept dezvoltatori care aplică pentru locuri de muncă pentru a se infiltra în companii până la păcălirea victimelor să se alăture unor interviuri false în podcasturi, actorii nord-coreeni au demonstrat în mod constant răbdare și creativitate în executarea campaniilor de infiltrare pe termen lung.

În ultimele luni, au recurs chiar la externalizarea unor părți ale operațiunilor lor.

Potrivit rapoartelor anterioare, grupurile nord-coreene au început să angajeze persoane non-coreene pentru a acționa ca fațade, ajutându-i să treacă interviuri și să obțină acces privilegiat la firmele cripto.

Dar Coreea de Nord nu este singura care apelează la contracte inteligente în scopuri rău intenționate.

Într-o campanie separată descoperită la începutul anului 2025 de ReversingLabs, atacatorii au fost găsiți folosind pachete npm pentru a încărca contracte inteligente pe Ethereum, care la rândul lor găzduiau adrese URL utilizate pentru a livra sarcini utile în a doua etapă care vizează utilizatorii cripto.