Хакеры из КНДР используют «EtherHiding» для размещения вредоносного ПО в блокчейнах Ethereum и BNB: Google

Группа Threat Intelligence компании Google предупредила, что Северная Корея использует EtherHiding — вредоносное ПО, скрывающееся в смарт-контрактах блокчейна и позволяющее совершать кражи криптовалюты — в своих кибератаках, поскольку 2025 год, по всей видимости, станет рекордным для криптовалютных ограблений со стороны этого государства-изгоя.

Хотя исследователи Google заявили, что EtherHiding использовался финансово мотивированными злоумышленниками, злоупотребляющими блокчейном для распространения инфостилеров как минимум с сентября 2023 года, это первый случай, когда они зафиксировали его использование государством. Это вредоносное ПО особенно устойчиво к традиционным методам блокировки и удаления.

«EtherHiding представляет новые вызовы, поскольку традиционные кампании обычно останавливались путем блокировки известных доменов и IP-адресов», — отметили исследователи в блоге, выделяя смарт-контракты на BNB Smart Chain и Ethereum как площадки, на которых размещался вредоносный код. Авторы вредоносного ПО могут «использовать блокчейн для дальнейших этапов распространения вредоносного ПО, поскольку смарт-контракты работают автономно и не могут быть отключены», добавили они.

Хотя исследователи по безопасности могут уведомить сообщество, пометив контракт как вредоносный в официальных сканерах блокчейна, они отметили, что «вредоносная активность все равно может осуществляться».

Угроза хакерских атак из Северной Кореи

Северокорейские хакеры уже украли более $2 миллиардов в этом году, причем большая часть этой суммы приходится на атаку на криптобиржу Bybit в феврале на $1.46 миллиарда, согласно октябрьскому отчету аналитической компании Elliptic.

DPRK также несет ответственность за атаки на LND.fi, WOO X и Seedify, а также еще тридцать других взломов, что доводит общую сумму украденных страной средств до более чем $6 миллиардов. По данным разведывательных агентств, эти средства помогают финансировать ядерную и ракетную программы страны.

Используя сочетание социальной инженерии, внедрения вредоносного ПО и сложной кибершпионажа, Северная Корея разработала комплекс тактик для получения доступа к финансовым системам или конфиденциальным данным компаний. Режим доказал свою готовность идти на большие ухищрения, включая создание фейковых компаний и нацеливание на разработчиков с помощью поддельных предложений о работе.

Случаи, о которых сообщал Decrypt, также показывают, что северокорейские хакерские группы теперь нанимают не-корейцев в качестве подставных лиц, чтобы помочь им проходить собеседования и устраиваться на работу в технологические и криптовалютные компании, поскольку работодатели становятся более осторожными по отношению к северокорейцам, выдающим себя за других людей на собеседованиях. Злоумышленники также могут заманивать жертв на видеовстречи или фейковые записи подкастов на платформах, которые затем отображают сообщения об ошибках или предлагают загрузить обновления, содержащие вредоносный код.

Северокорейские хакеры также атаковали традиционную веб-инфраструктуру, загрузив более 300 пакетов вредоносного кода в реестр npm, открытое хранилище программного обеспечения, используемое миллионами разработчиков для обмена и установки JavaScript-программ.

Как работает EtherHiding?

Последний поворот Северной Кореи с включением EtherHiding в свой арсенал был зафиксирован в феврале 2025 года, и с тех пор Google отслеживает UNC5342 — северокорейского злоумышленника, связанного с хакерской группой страны FamousChollima, — который интегрировал EtherHiding в свою кампанию социальной инженерии Contagious Interview.

Использование вредоносного ПО EtherHiding включает внедрение вредоносного кода в смарт-контракты публичных блокчейнов, а затем нацеливание на пользователей через сайты WordPress, в которые внедрен небольшой фрагмент JavaScript-кода.

«Когда пользователь посещает скомпрометированный сайт, загрузочный скрипт выполняется в его браузере», — объяснили исследователи Google. «Этот скрипт затем взаимодействует с блокчейном для получения основного вредоносного полезного кода, хранящегося на удаленном сервере».

Они добавили, что вредоносное ПО использует вызов функции только для чтения (например, eth_call), который не создает транзакцию в блокчейне. «Это обеспечивает скрытность получения вредоносного ПО и позволяет избежать комиссий за транзакции (т.е. gas fees)», — отметили они. «После получения вредоносный полезный код выполняется на компьютере жертвы. Это может привести к различным вредоносным действиям, таким как отображение фейковых страниц входа, установка инфостилеров или развертывание программ-вымогателей».

Исследователи предупредили, что это «подчеркивает постоянную эволюцию» тактик киберпреступников. «По сути, EtherHiding представляет собой переход к хостингу следующего поколения, где базовые свойства технологии блокчейна используются в злонамеренных целях».