Hakerzy z DPRK wykorzystują 'EtherHiding' do hostowania złośliwego oprogramowania na blockchainach Ethereum i BNB: Google

Grupa Threat Intelligence firmy Google ostrzegła, że Korea Północna wykorzystuje EtherHiding — złośliwe oprogramowanie ukrywające się w smart contracts na blockchainie i umożliwiające kradzież kryptowalut — w swoich operacjach cybernetycznych, podczas gdy rok 2025 zapowiada się na rekordowy pod względem liczby kradzieży kryptowalut dokonywanych przez to państwo zbójeckie.

Chociaż badacze Google stwierdzili, że EtherHiding był używany przez cyberprzestępców nastawionych na zysk finansowy, którzy od co najmniej września 2023 roku wykorzystywali blockchain do dystrybucji infostealerów, to jest to pierwszy raz, kiedy zaobserwowano jego użycie przez państwo narodowe. Złośliwe oprogramowanie jest szczególnie odporne na tradycyjne metody blokowania i usuwania.

„EtherHiding stawia nowe wyzwania, ponieważ tradycyjne kampanie były zwykle zatrzymywane przez blokowanie znanych domen i adresów IP” — napisali badacze w poście na blogu, wskazując BNB Smart Chain i Ethereum jako platformy, które były gospodarzem złośliwego kodu. Autorzy złośliwego oprogramowania mogą „wykorzystać blockchain do przeprowadzania kolejnych etapów rozprzestrzeniania malware, ponieważ smart contracts działają autonomicznie i nie mogą zostać wyłączone” — dodali.

Jak zauważyli, choć badacze ds. bezpieczeństwa mogą ostrzegać społeczność, oznaczając kontrakt jako złośliwy w oficjalnych skanerach blockchain, „złośliwa aktywność nadal może być prowadzona”.

Zagrożenie hakerskie ze strony Korei Północnej

Hakerzy z Korei Północnej ukradli w tym roku już ponad 2 miliardy dolarów, z czego większość pochodzi z ataku na giełdę kryptowalut Bybit w lutym, w którym skradziono 1,46 miliarda dolarów — wynika z raportu firmy analitycznej Elliptic z października.

DPRK została również uznana za odpowiedzialną za ataki na LND.fi, WOO X i Seedify, a także trzydzieści innych włamań, co łącznie daje ponad 6 miliardów dolarów skradzionych przez to państwo. Według agencji wywiadowczych, środki te pomagają finansować programy nuklearne i rakietowe kraju.

Pozyskiwane poprzez mieszankę inżynierii społecznej, wdrażania złośliwego oprogramowania i zaawansowanego szpiegostwa cybernetycznego, Korea Północna opracowała zestaw taktyk umożliwiających dostęp do systemów finansowych lub wrażliwych danych firm. Reżim udowodnił, że jest gotów posunąć się bardzo daleko, w tym zakładać fikcyjne firmy i celować w deweloperów za pomocą fałszywych ofert pracy.

Przypadki zgłaszane do Decrypt pokazują również, że północnokoreańskie grupy hakerskie zatrudniają obecnie osoby niebędące Koreańczykami jako przykrywki, aby pomóc im przejść rozmowy kwalifikacyjne i zdobyć pracę w firmach technologicznych i kryptowalutowych, ponieważ pracodawcy stają się coraz bardziej ostrożni wobec Koreańczyków podszywających się pod osoby z innych krajów. Atakujący mogą także zwabiać ofiary na spotkania wideo lub fałszywe nagrania podcastów na platformach, które następnie wyświetlają komunikaty o błędach lub zachęcają do pobrania aktualizacji zawierających złośliwy kod.

Hakerzy z Korei Północnej atakowali również tradycyjną infrastrukturę internetową, przesyłając ponad 300 malicious code packages to the npm registry, otwarte repozytorium oprogramowania używane przez miliony deweloperów do udostępniania i instalowania oprogramowania JavaScript.

Jak działa EtherHiding?

Najnowszy zwrot Korei Północnej, polegający na włączeniu EtherHiding do swojego arsenału, został prześledzony do lutego 2025 roku, a od tego czasu Google śledzi UNC5342 — północnokoreańskiego aktora zagrożeń powiązanego z grupą hakerską FamousChollima — który włączył EtherHiding do swojej kampanii inżynierii społecznej Contagious Interview.

Wykorzystanie złośliwego oprogramowania EtherHiding polega na osadzaniu złośliwego kodu w smart contracts publicznych blockchainów, a następnie atakowaniu użytkowników poprzez strony WordPress zainfekowane niewielkim fragmentem kodu JavaScript.

„Gdy użytkownik odwiedza zainfekowaną stronę, loader script uruchamia się w jego przeglądarce” — wyjaśnili badacze Google. „Ten skrypt komunikuje się następnie z blockchainem, aby pobrać główny złośliwy ładunek przechowywany na zdalnym serwerze.”

Dodali, że złośliwe oprogramowanie wykorzystuje wywołanie funkcji tylko do odczytu (takie jak eth_call), które nie tworzy transakcji na blockchainie. „Zapewnia to, że pobranie malware odbywa się w sposób niewidoczny i unika opłat transakcyjnych (czyli gas fees)” — zauważyli. „Po pobraniu złośliwy ładunek jest wykonywany na komputerze ofiary. Może to prowadzić do różnych złośliwych działań, takich jak wyświetlanie fałszywych stron logowania, instalowanie malware kradnącego informacje lub wdrażanie ransomware.”

Badacze ostrzegli, że „podkreśla to ciągłą ewolucję” taktyk cyberprzestępców. „W istocie, EtherHiding oznacza zwrot w kierunku nowej generacji bulletproof hostingu, gdzie wrodzone cechy technologii blockchain są wykorzystywane do złośliwych celów.”