Hakerzy z Korei Północnej. Używają malware opartego o blockchain

Jak podaje portal Tom's Hardware nowe badania przeprowadzone przez Google’s Threat Intelligence Group (GTIG) ujawniają, że wspierana przez państwo grupa hakerów z Korei Północnej używa publicznych blockchainów do hostowania złośliwego oprogramowania. Technika znana jako "EtherHiding" po raz pierwszy została zaobserwowana w lutym 2025 roku.

Google wiąże te działania z grupą UNC5342, która od dawna atakuje deweloperów i specjalistów z branży kryptowalutowej. UNC5342 używa narzędzia nazwanego JADESNOW do pobierania i uruchamiania backdoora, INVISIBLEFERRET, bezpośrednio z danych przechowywanych na BNB Smart Chain i w smart contractach na Ethereum.

Mechanizm dostarczania malware opiera się na wywołaniach blockchainów tylko do odczytu, co zapobiega tworzeniu nowych transakcji i zostawianiu śladów w narzędziach analitycznych. Kontrakty są niezmienne, przez co nie można usunąć osadzonych skryptów.

Hakerzy mogą aktualizować lub zmieniać zawartość malware poprzez zmienianie zmiennych w zbiorach kontraktów, bez potrzeby ponownego hakowania stron czy klientów. Google wskazuje, że jest to pierwszy przypadek użycia tej techniki przez zespół sponsorowany przez państwo.

Infekowanie sprzętu jest wykonywane poprzez zhakowane strony WordPress i socjotechniczne pułapki, takie jak fałszywe rozmowy rekrutacyjne. Osoby trafiające na te strony otrzymują loader JADESNOW, który pobiera złośliwy ładunek JavaScript i uruchamia go lokalnie, co pozwala na długotrwałą inwigilację i kradzież danych.

Google nie precyzuje, w jaki sposób dane ze smart contractów są pobierane, ale wcześniejsze badania nad techniką "EtherHiding" wskazują na użycie standardowych wywołań JSON-RPC. Blokowanie tych usług lub użycie własnych węzłów z restrykcjami może pomóc w zabezpieczeniu przez tym atakiem. Z kolei od strony wyszukiwarek zaleca się także stosowanie ścisłych polityk dotyczących rozszerzeń przeglądarek i blokowanie aktualizacji w celu uniknięcia fałszywych powiadomień.