Hackers da DPRK usam 'EtherHiding' para hospedar malware nas blockchains Ethereum e BNB, diz Google

O Threat Intelligence Group do Google alertou que a Coreia do Norte está utilizando o EtherHiding—um malware que se esconde em smart contracts de blockchain e permite o roubo de criptomoedas—em suas operações de ciberataques, já que 2025 promete ser um ano recorde para roubos de criptoativos pelo estado desonesto.

Embora os pesquisadores do Google tenham afirmado que o EtherHiding tem sido usado por agentes de ameaça motivados financeiramente que abusam do blockchain para distribuir infostealers desde pelo menos setembro de 2023, esta é a primeira vez que observaram seu uso por um estado-nação. O malware é particularmente resistente aos métodos convencionais de remoção e bloqueio.

“O EtherHiding apresenta novos desafios, já que campanhas tradicionais geralmente eram interrompidas bloqueando domínios e IPs conhecidos”, disseram os pesquisadores em uma postagem no blog, destacando os smart contracts na BNB Smart Chain e na Ethereum como hospedeiros de código malicioso. Os autores do malware poderiam “aproveitar o blockchain para realizar estágios adicionais de propagação do malware, já que os smart contracts operam de forma autônoma e não podem ser desligados”, acrescentaram.

Embora pesquisadores de segurança possam alertar a comunidade marcando um contrato como malicioso em scanners oficiais de blockchain, eles observaram que “atividades maliciosas ainda podem ser realizadas”.

A ameaça de hackers norte-coreanos

Hackers norte-coreanos já roubaram mais de US$ 2 bilhões até agora este ano, sendo a maior parte proveniente do ataque de US$ 1,46 bilhões à exchange de criptoativos Bybit em fevereiro, de acordo com um relatório de outubro da empresa de análise de blockchain Elliptic.

A DPRK também foi responsabilizada por ataques à LND.fi, WOO X e Seedify, além de outros trinta hacks, elevando o total roubado pelo país até o momento para mais de US$ 6 bilhões. Segundo agências de inteligência, esses fundos ajudam a financiar os programas de armas nucleares e mísseis do país.

Obtendo recursos por meio de uma combinação de engenharia social, implantação de malware e espionagem cibernética sofisticada, a Coreia do Norte desenvolveu uma variedade de táticas para acessar sistemas financeiros ou dados sensíveis de empresas. O regime já demonstrou estar disposto a ir longe para isso, incluindo a criação de empresas falsas e o direcionamento de desenvolvedores com ofertas de emprego fraudulentas.

Casos relatados ao Decrypt também mostram que grupos de hackers norte-coreanos agora estão contratando não coreanos para servirem de fachada e ajudá-los a passar em entrevistas para conseguir empregos em empresas de tecnologia e cripto, já que empregadores estão mais atentos a norte-coreanos se passando por pessoas de outros lugares nas entrevistas. Os atacantes também podem atrair vítimas para reuniões em vídeo ou gravações de podcasts falsos em plataformas que, então, exibem mensagens de erro ou solicitam downloads de atualizações que contêm código malicioso.

Hackers norte-coreanos também têm como alvo a infraestrutura web convencional, carregando mais de 300 pacotes de código malicioso no registro npm, um repositório de software open-source usado por milhões de desenvolvedores para compartilhar e instalar softwares em JavaScript.

Como funciona o EtherHiding?

A mais recente mudança da Coreia do Norte para incluir o EtherHiding em seu arsenal foi rastreada até fevereiro de 2025, e desde então o Google afirmou ter monitorado o UNC5342—um agente de ameaça norte-coreano ligado ao grupo de hackers FamousChollima—incorporando o EtherHiding em sua campanha de engenharia social chamada Contagious Interview.

O uso do malware EtherHiding envolve a inserção de código malicioso nos smart contracts de blockchains públicas, e então o direcionamento de usuários por meio de sites WordPress infectados com um pequeno trecho de código JavaScript.

“Quando um usuário visita o site comprometido, o script loader é executado em seu navegador”, explicaram os pesquisadores do Google. “Esse script então se comunica com o blockchain para recuperar a carga maliciosa principal armazenada em um servidor remoto.”

Eles acrescentaram que o malware utiliza uma chamada de função somente leitura (como eth_call), que não cria uma transação no blockchain. “Isso garante que a recuperação do malware seja discreta e evite taxas de transação (ou seja, taxas de gás)”, observaram. “Uma vez obtida, a carga maliciosa é executada no computador da vítima. Isso pode levar a várias atividades maliciosas, como exibição de páginas de login falsas, instalação de malware para roubo de informações ou implantação de ransomware.”

Os pesquisadores alertaram que isso “destaca a evolução contínua” das táticas dos cibercriminosos. “Em essência, o EtherHiding representa uma mudança para uma hospedagem à prova de balas de próxima geração, onde os recursos inerentes da tecnologia blockchain são reaproveitados para fins maliciosos.”