Nordkoreanska hackare bäddade in skadlig kod i smarta kontrakt för Ethereum och BNB

Nordkoreanska hackare använder en ny skadlig kod som kan gömma sig i smarta blockkedjekontrakt för att i smyg suga upp kryptovalutor.

Skadlig programvara, som kallas EtherHiding, har varit aktiv sedan åtminstone september 2023, enligt en färsk rapport från Googles Threat Intelligence Group.

Även om det tidigare upptäcktes i ekonomiskt motiverade kampanjer av cyberbrottslingar, är detta första gången forskare har observerat en nationalstatlig aktör som använder det.

I sina senaste resultat kopplade Google användningen av skadlig programvara till UNC5342, en hotgrupp som är förknippad med Nordkoreas ökända hackerenhet, FamousChollima.

Googles forskare varnade för att EtherHiding introducerar nya utmaningar för försvarare, eftersom det kringgår traditionella metoder för att neutralisera skadliga kampanjer.

Till skillnad från typisk infrastruktur för skadlig kod, som ofta kan störas genom att blockera kända IP-adresser eller ta ner domäner, fungerar smarta kontrakt autonomt på blockkedjenätverk och kan inte tas bort eller ändras när de väl har distribuerats.

Teamet pekade ut både Ethereum och BNB Smart Chain som plattformar där skadlig kod redan har bäddats in, vilket gör det möjligt för hackare att använda dessa kontrakt som fordon för att distribuera skadlig kod.

Hur riktar sig EtherHiding till kryptoanvändare?

Enligt forskare fungerar EtherHiding genom att dölja kod i offentliga smarta kontrakt, som sedan kan utlösas via JavaScript planterad på komprometterade WordPress-webbplatser.

När en användare besöker en av dessa försåtliga webbplatser körs ett litet laddningsskript tyst i webbläsaren.

Därefter når skriptet ut till blockkedjan, utan att lämna några spår i kedjan, eftersom det använder skrivskyddade anrop som eth_call, och hämtar skadliga instruktioner från det smarta kontraktet, som sedan omdirigeras till angriparkontrollerade servrar som levererar hela nyttolasten med skadlig kod till användarens enhet.

Eftersom interaktionen med blockkedjan inte genererar några transaktioner eller medför gasavgifter, lämnar den inga typiska indikatorer som säkerhetsverktyg kan leta efter.

När skadlig programvara väl har körts kan den ta olika former, allt från falska inloggningssidor utformade för att samla in inloggningsuppgifter till infostealers och till och med ransomware.

Och eftersom skadlig programvara använder blockchain som en motståndskraftig backend, gör det det betydligt svårare att stänga av kampanjen när den väl är igång.

Konsekvenserna är allvarliga, särskilt med tanke på Nordkoreas historia av att använda cyberbrottslighet för att finansiera sina vapenprogram och kringgå sanktioner.

Nordkoreanska hackare har förblivit ett ständigt hot

Under årens lopp har Pyongyangs hackningsenheter utvecklat ett rykte om sig att vara sofistikerade och använder ett brett utbud av sociala ingenjörsknep och skadlig programvara för att bryta sig in på kryptoplattformar och finansinstitut.

Från att utge sig för att vara utvecklare som söker jobb för att infiltrera företag till att lura offer att delta i falska podcastintervjuer, har nordkoreanska hotaktörer konsekvent visat tålamod och kreativitet när det gäller att genomföra långsiktiga infiltrationskampanjer.

Under de senaste månaderna har de till och med börjat lägga ut delar av sin verksamhet på entreprenad.

Enligt tidigare rapporter har nordkoreanska grupper börjat anställa icke-koreanska personer för att fungera som fronter, hjälpa dem att klara intervjuer och få insidertillgång till kryptoföretag.

Men Nordkorea är inte ensamt om att vända sig till smarta kontrakt i skadliga syften.

I en separat kampanj som avslöjades tidigare under 2025 av ReversingLabs upptäcktes angripare använda npm-paket för att ladda smarta kontrakt på Ethereum, som i sin tur var värdar för webbadresser som används för att leverera nyttolaster i andra steget som riktar sig till kryptoanvändare.