DPRK-Hacker nutzen 'EtherHiding', um Malware auf Ethereum- und BNB-Blockchains zu hosten: Google

Googles Threat Intelligence Group hat gewarnt, dass Nordkorea EtherHiding einsetzt – eine Malware, die sich in Blockchain-Smart Contracts verbirgt und Kryptowährungsdiebstahl ermöglicht – in ihren Cyber-Hacking-Operationen, während 2025 ein Rekordjahr für Krypto-Diebstähle durch den Schurkenstaat zu werden scheint.

Obwohl Google-Forscher angaben, dass EtherHiding seit mindestens September 2023 von finanziell motivierten Bedrohungsakteuren, die Blockchain missbrauchen, um Infostealer zu verbreiten, eingesetzt wurde, ist dies das erste Mal, dass sie den Einsatz durch einen Nationalstaat beobachten. Die Malware ist besonders widerstandsfähig gegen herkömmliche Methoden zur Abschaltung und Blockierung.

„EtherHiding stellt neue Herausforderungen dar, da traditionelle Kampagnen üblicherweise durch das Blockieren bekannter Domains und IPs gestoppt wurden“, erklärten die Forscher in einem Blogbeitrag und hoben hervor, dass Smart Contracts auf der BNB Smart Chain und Ethereum als Gastgeber für bösartigen Code dienten. Malware-Autoren könnten „die Blockchain nutzen, um weitere Malware-Verbreitungsstufen durchzuführen, da Smart Contracts autonom arbeiten und nicht abgeschaltet werden können“, fügten sie hinzu.

Während Sicherheitsforscher die Community warnen können, indem sie einen Vertrag als bösartig auf offiziellen Blockchain-Scannern markieren, stellten sie fest: „Bösartige Aktivitäten können dennoch durchgeführt werden.“

Die nordkoreanische Hacking-Bedrohung

Nordkoreanische Hacker haben laut einem Bericht von Oktober der Blockchain-Analysefirma Elliptic in diesem Jahr bereits mehr als 2 Milliarden Dollar gestohlen, wobei der Großteil aus dem Angriff im Februar auf die Krypto-Börse Bybit in Höhe von 1,46 Milliarden Dollar stammt.

Die DVRK wurde außerdem für Angriffe auf LND.fi, WOO X und Seedify sowie für dreißig weitere Hacks verantwortlich gemacht, wodurch sich die insgesamt vom Land gestohlene Summe auf über 6 Milliarden Dollar beläuft. Diese Gelder, so Geheimdienste, finanzieren das Atomwaffen- und Raketenprogramm des Landes.

Durch eine Mischung aus Social Engineering, dem Einsatz von Malware und ausgeklügelter Cyber-Spionage hat Nordkorea verschiedene Taktiken entwickelt, um Zugang zu den Finanzsystemen oder sensiblen Daten von Unternehmen zu erhalten. Das Regime hat bewiesen, dass es bereit ist, große Anstrengungen zu unternehmen, einschließlich der Gründung von Scheinfirmen und der gezielten Ansprache von Entwicklern mit fingierten Jobangeboten.

Fälle, die Decrypt gemeldet wurden, zeigen auch, dass nordkoreanische Hackergruppen inzwischen Nicht-Koreaner anheuern, um als Strohmänner zu fungieren und ihnen zu helfen, Vorstellungsgespräche bei Technologie- und Krypto-Unternehmen zu bestehen, da Arbeitgeber zunehmend vorsichtiger gegenüber Nordkoreanern werden, die sich als Personen aus anderen Ländern ausgeben. Angreifer können Opfer auch zu Videomeetings oder gefälschten Podcast-Aufnahmen auf Plattformen locken, die dann Fehlermeldungen anzeigen oder zum Herunterladen von Updates auffordern, die bösartigen Code enthalten.

Nordkoreanische Hacker haben auch konventionelle Web-Infrastruktur ins Visier genommen und mehr als 300 bösartige Codepakete im npm-Registry hochgeladen, einem Open-Source-Software-Repository, das von Millionen Entwicklern genutzt wird, um JavaScript-Software zu teilen und zu installieren.

Wie funktioniert EtherHiding?

Nordkoreas jüngste Neuausrichtung, EtherHiding in sein Arsenal aufzunehmen, wurde bis Februar 2025 zurückverfolgt, und seitdem hat Google nach eigenen Angaben UNC5342 – einen nordkoreanischen Bedrohungsakteur, der mit der Hacking-Gruppe FamousChollima in Verbindung steht – dabei beobachtet, wie EtherHiding in die Social-Engineering-Kampagne Contagious Interview integriert wurde.

Der Einsatz der EtherHiding-Malware beinhaltet das Einbetten von bösartigem Code in die Smart Contracts öffentlicher Blockchains und das anschließende Angreifen von Nutzern über WordPress-Seiten, die mit einem kleinen Stück JavaScript-Code infiziert wurden.

„Wenn ein Nutzer die kompromittierte Website besucht, wird das Loader-Skript in seinem Browser ausgeführt“, erklärten die Google-Forscher. „Dieses Skript kommuniziert dann mit der Blockchain, um die Hauptnutzlast der Malware von einem entfernten Server abzurufen.“

Sie fügten hinzu, dass die Malware einen Nur-Lese-Funktionsaufruf (wie eth_call) verwendet, der keine Transaktion auf der Blockchain erzeugt. „Dies stellt sicher, dass das Abrufen der Malware unauffällig bleibt und keine Transaktionsgebühren (d. h. Gasgebühren) anfallen“, stellten sie fest. „Sobald abgerufen, wird die bösartige Nutzlast auf dem Computer des Opfers ausgeführt. Dies kann zu verschiedenen bösartigen Aktivitäten führen, wie dem Anzeigen gefälschter Login-Seiten, der Installation von Informationsdiebstahl-Malware oder dem Einsatz von Ransomware.“

Die Forscher warnten, dass dies „die kontinuierliche Weiterentwicklung“ der Taktiken von Cyberkriminellen unterstreiche. „Im Wesentlichen stellt EtherHiding einen Wandel hin zu einer neuen Generation von bulletproof hosting dar, bei der die inhärenten Eigenschaften der Blockchain-Technologie für bösartige Zwecke umfunktioniert werden.“