Gumagamit ang mga hacker mula sa DPRK ng 'EtherHiding' upang mag-host ng malware sa Ethereum at BNB blockchains: Google

Binalaan ng Threat Intelligence Group ng Google na ginagamit ng North Korea ang EtherHiding—isang malware na nagtatago sa blockchain smart contracts at nagbibigay-daan sa pagnanakaw ng cryptocurrency—sa kanilang mga cyber hacking operations, habang inaasahang magiging rekord ang 2025 para sa crypto heists ng naturang rogue state.

Bagaman sinabi ng mga mananaliksik ng Google na ang EtherHiding ay ginamit na ng mga threat actors na pinapagana ng financial motives na umaabuso sa blockchain upang magpakalat ng infostealers mula pa noong Setyembre 2023, ito ang unang beses na nakita nilang ginamit ito ng isang nation state. Ang malware na ito ay partikular na matibay laban sa mga tradisyonal na paraan ng takedown at pag-block.

"Nagdadala ang EtherHiding ng mga bagong hamon dahil ang mga tradisyonal na kampanya ay karaniwang napipigilan sa pamamagitan ng pag-block ng mga kilalang domain at IP," ayon sa mga mananaliksik sa isang blog post, na binanggit ang mga smart contract sa BNB Smart Chain at Ethereum bilang mga naging host ng malicious code. Maaaring "gamitin ng mga may-akda ng malware ang blockchain upang magsagawa ng karagdagang yugto ng pagpapalaganap ng malware dahil ang mga smart contract ay gumagana nang autonomously at hindi maaaring patayin," dagdag nila.

Bagaman maaaring abisuhan ng mga security researcher ang komunidad sa pamamagitan ng pag-tag ng isang kontrata bilang malicious sa mga opisyal na blockchain scanner, kanilang binanggit, "maaari pa ring isagawa ang malicious activity."

Ang Banta ng Hacking ng North Korea

Nakakuha na ng higit sa $2 bilyon ang mga hacker ng North Korea ngayong taon, karamihan dito ay mula sa $1.46 bilyon na pag-atake sa crypto exchange na Bybit noong Pebrero, ayon sa isang ulat noong Oktubre ng blockchain analytics firm na Elliptic.

Ang DPRK ay pinaniniwalaan ding responsable sa mga pag-atake sa LND.fi, WOO X at Seedify, pati na rin sa tatlumpung iba pang mga hack, na nagdadala sa kabuuang halaga ng ninakaw ng bansa hanggang ngayon sa mahigit $6 bilyon. Ayon sa mga ahensya ng intelihensiya, ang mga pondong ito ay tumutulong sa pagpopondo ng mga programa ng bansa para sa nuclear weapons at missile.

Nakukuha sa pamamagitan ng halo ng social engineering, pag-deploy ng malware at sopistikadong cyber espionage, nakabuo ang North Korea ng iba't ibang taktika upang makakuha ng access sa mga financial system o sensitibong data ng mga kumpanya. Pinatunayan ng rehimen na handa silang gumawa ng matinding hakbang para dito, kabilang ang pagtatayo ng mga pekeng kumpanya at pag-target sa mga developer gamit ang mga pekeng alok ng trabaho.

Ipinapakita rin ng mga kasong iniulat sa Decrypt na ngayon ay kumukuha na ang mga North Korean hacking outfit ng mga hindi Koreano upang magsilbing harapan at tulungan silang makapasa sa mga interview para makakuha ng trabaho sa mga tech at crypto company, habang nagiging mas maingat ang mga employer sa mga North Korean na nagpapanggap na mula sa ibang bansa. Maaari ring akitin ng mga attacker ang mga biktima sa mga video meeting o pekeng podcast recording sa mga platform na nagpapakita ng error messages o nagpo-prompt ng update downloads na naglalaman ng malicious code.

Target din ng mga North Korean hacker ang mga conventional web infrastructure, nag-upload ng mahigit 300 malicious code packages sa npm registry, isang open-source software repository na ginagamit ng milyun-milyong developer upang magbahagi at mag-install ng JavaScript software.

Paano Gumagana ang EtherHiding?

Ang pinakabagong pag-shift ng North Korea upang isama ang EtherHiding sa kanilang arsenal ay natunton noong Pebrero 2025, at mula noon sinabi ng Google na natunton nila ang UNC5342—isang North Korean threat actor na konektado sa hacking outfit ng bansa na FamousChollima—na isinama ang EtherHiding sa kanilang social engineering campaign na Contagious Interview.

Ang paggamit ng EtherHiding malware ay kinabibilangan ng pag-embed ng malicious code sa mga smart contract ng public blockchains, at pagkatapos ay pag-target sa mga user sa pamamagitan ng mga WordPress site na ininject-an ng maliit na piraso ng JavaScript code.

"Kapag bumisita ang isang user sa compromised na website, ang loader script ay nag-e-execute sa kanilang browser," paliwanag ng mga mananaliksik ng Google. "Ang script na ito ay nakikipag-ugnayan sa blockchain upang kunin ang pangunahing malicious payload na naka-imbak sa isang remote server."

Dagdag pa nila na ang malware ay gumagamit ng read-only function call (tulad ng eth_call), na hindi lumilikha ng transaksyon sa blockchain. "Tinitiyak nito na ang pagkuha ng malware ay stealthy at iniiwasan ang transaction fees (i.e. gas fees)," kanilang binanggit. "Kapag nakuha na, ang malicious payload ay ine-execute sa computer ng biktima. Maaari itong magdulot ng iba't ibang malicious activities, tulad ng pagpapakita ng pekeng login pages, pag-install ng information-stealing malware, o pag-deploy ng ransomware."

Binalaan ng mga mananaliksik na ito ay "nagpapakita ng tuloy-tuloy na ebolusyon" ng mga taktika ng cybercriminals. "Sa esensya, ang EtherHiding ay kumakatawan sa isang pag-shift patungo sa next-generation bulletproof hosting, kung saan ang likas na katangian ng blockchain technology ay ginagamit para sa masasamang layunin."