Kuzey Koreli bilgisayar korsanları, Ethereum ve BNB akıllı sözleşmelerine kötü amaçlı yazılım yerleştirdi

Kuzey Koreli bilgisayar korsanları, kripto para birimlerini gizlice ele geçirmek için blockchain akıllı sözleşmelerinin içine saklanabilen yeni bir kötü amaçlı yazılım kullanıyor.

Google'ın Tehdit İstihbarat Grubu'nun yakın tarihli bir raporuna göre, EtherHiding olarak adlandırılan kötü amaçlı yazılım, en az Eylül 2023'ten beri aktif. 

Daha önce siber suçlular tarafından finansal amaçlı kampanyalarda tespit edilmiş olsa da, araştırmacılar ilk kez bir ulus devlet aktörünün bunu kullandığını gözlemlediler. 

Google, son bulgularında, kötü amaçlı yazılımın kullanımını, Kuzey Kore'nin kötü şöhretli bilgisayar korsanlığı birimi FamousChollima ile ilişkili bir tehdit grubu olan UNC5342 ile ilişkilendirdi.

Google'ın araştırmacıları, EtherGhide'ın kötü niyetli kampanyaları etkisiz hale getirmeye yönelik geleneksel yöntemleri atladığı için savunucular için yeni zorluklar getirdiği konusunda uyardı. 

Genellikle bilinen IP adreslerinin engellenmesi veya alan adlarının kapatılmasıyla kesintiye uğrayabilen tipik kötü amaçlı yazılım altyapısının aksine, akıllı sözleşmeler blockchain ağlarında özerk bir şekilde çalışır ve dağıtıldıktan sonra kaldırılamaz veya değiştirilemez. 

Ekip, hem Ethereum hem de BNB Smart Chain'i, kötü amaçlı kodların zaten gömülü olduğu platformlar olarak seçti ve bilgisayar korsanlarının bu sözleşmeleri kötü amaçlı yazılım dağıtmak için araç olarak kullanmasına izin verdi.

EtherHiding kripto kullanıcılarını nasıl hedefliyor?

Araştırmacılara göre EtherGitching, kodu halka açık akıllı sözleşmeler içinde gizleyerek çalışıyor ve bu kod daha sonra güvenliği ihlal edilmiş WordPress web sitelerine yerleştirilen JavaScript aracılığıyla tetiklenebiliyor. 

Bir kullanıcı bu bubi tuzaklı sitelerden birini ziyaret ettiğinde, tarayıcısında küçük bir yükleyici komut dosyası sessizce çalışır.

Daha sonra komut dosyası, eth_call gibi salt okunur çağrılar kullandığından ve akıllı sözleşmeden kötü amaçlı talimatlar aldığından, zincir üzerinde herhangi bir iz bırakmadan blok zincirine ulaşır ve bu talimatlar daha sonra tüm kötü amaçlı yazılım yükünü kullanıcının cihazına ileten saldırgan tarafından kontrol edilen sunuculara yönlendirilir.

Blok zinciri ile etkileşim herhangi bir işlem oluşturmadığından veya gas ücretine neden olmadığından, güvenlik araçlarının arayabileceği tipik göstergeler bırakmaz.

Kötü amaçlı yazılım yürütüldükten sonra, kimlik bilgilerini toplamak için tasarlanmış sahte oturum açma sayfalarından bilgi hırsızlarına ve hatta fidye yazılımlarına kadar çeşitli biçimlerde olabilir. 

Kötü amaçlı yazılım, esnek bir arka uç olarak blok zinciri kullandığından, kampanya başladıktan sonra kapatılmasını önemli ölçüde zorlaştırıyor.

Özellikle Kuzey Kore'nin silah programlarını finanse etmek ve yaptırımlardan kaçmak için siber suçları kullanma geçmişi göz önüne alındığında, bunun sonuçları ciddidir.

Kuzey Koreli bilgisayar korsanları tutarlı bir tehdit olmaya devam etti

Yıllar geçtikçe Pyongyang'ın bilgisayar korsanlığı birimleri, kripto platformlarını ve finans kurumlarını ihlal etmek için çok çeşitli sosyal mühendislik hileleri ve kötü amaçlı yazılımlar kullanarak gelişmişlik konusunda bir itibar kazandı.

Kuzey Koreli tehdit aktörleri, şirketlere sızmak için iş başvurusunda bulunan geliştiriciler gibi davranmaktan, kurbanları sahte podcast röportajlarına katılmaları için kandırmaya kadar, uzun vadeli sızma kampanyaları yürütmede sürekli olarak sabır ve yaratıcılık gösterdiler.

Son aylarda, operasyonlarının bazı kısımlarını dış kaynak kullanımına bile başvurdular.

Geçmiş raporlara göre, Kuzey Koreli gruplar Koreli olmayan kişileri paravan olarak hareket etmeleri, röportajları geçmelerine ve kripto firmalarına içeriden erişim sağlamalarına yardımcı olmaları için işe almaya başladı.

Ancak Kuzey Kore, kötü amaçlarla akıllı sözleşmelere yönelme konusunda yalnız değil.

ReversingLabs tarafından 2025'in başlarında ortaya çıkarılan ayrı bir kampanyada, saldırganların Ethereum'a akıllı sözleşmeler yüklemek için npm paketlerini kullandıkları ve bu paketlerin de kripto kullanıcılarını hedef alan ikinci aşama yükleri iletmek için kullanılan URL'leri barındırdığı tespit edildi.