Хакери з КНДР використовують 'EtherHiding' для розміщення шкідливого ПЗ на Ethereum, BNB блокчейнах: Google

Група Threat Intelligence від Google попередила, що Північна Корея використовує EtherHiding — шкідливе програмне забезпечення, яке ховається у смарт-контрактах блокчейну та дозволяє красти криптовалюту — у своїх кіберзлочинних операціях, оскільки 2025 рік, ймовірно, стане рекордним для криптовалютних пограбувань цією державою-вигнанцем.

Хоча дослідники Google заявили, що EtherHiding використовувався фінансово мотивованими зловмисниками, які зловживали блокчейном для розповсюдження інфостілерів щонайменше з вересня 2023 року, це перший випадок, коли вони спостерігали його використання на рівні держави. Це шкідливе ПЗ особливо стійке до традиційних методів блокування та видалення.

«EtherHiding створює нові виклики, оскільки традиційні кампанії зазвичай зупинялися шляхом блокування відомих доменів та IP-адрес», — зазначили дослідники у блозі, виділивши смарт-контракти на BNB Smart Chain та Ethereum як такі, що містили шкідливий код. Автори шкідливого ПЗ можуть «використовувати блокчейн для подальших етапів розповсюдження шкідливого ПЗ, оскільки смарт-контракти працюють автономно і не можуть бути вимкнені», додали вони.

Хоча дослідники безпеки можуть попередити спільноту, позначивши контракт як шкідливий в офіційних блокчейн-сканерах, вони зазначили, що «шкідлива активність все одно може здійснюватися».

Загроза хакерів з Північної Кореї

Північнокорейські хакери вже викрали понад $2 мільярди цього року, більша частина яких припадає на атаку на криптобіржу Bybit у лютому на $1.46 мільярда, згідно з жовтневим звітом аналітичної компанії Elliptic.

DPRK також несе відповідальність за атаки на LND.fi, WOO X і Seedify, а також ще понад тридцять інших зломів, що доводить загальну суму викраденого країною до понад $6 мільярдів. За даними розвідувальних агентств, ці кошти допомагають фінансувати ядерну зброю та ракетні програми країни.

Отримані шляхом поєднання соціальної інженерії, розгортання шкідливого ПЗ та складного кібершпигунства, Північна Корея розробила комплекс тактик для отримання доступу до фінансових систем або конфіденційних даних компаній. Режим довів свою готовність йти на великі жертви, включаючи створення фіктивних компаній і націлювання на розробників із фальшивими пропозиціями про роботу.

Випадки, про які повідомляє Decrypt, також показують, що північнокорейські хакерські групи зараз наймають не-корейців як підставних осіб, щоб допомогти їм проходити співбесіди та отримувати роботу в технологічних і криптовалютних компаніях, оскільки роботодавці стають обережнішими щодо північнокорейців, які видають себе за інших. Зловмисники також можуть заманювати жертв на відеозустрічі або фальшиві записи подкастів на платформах, які потім відображають повідомлення про помилки або пропонують завантажити оновлення, що містять шкідливий код.

Північнокорейські хакери також атакували традиційну веб-інфраструктуру, завантаживши понад 300 шкідливих пакетів коду до реєстру npm, відкритого репозиторію програмного забезпечення, яким користуються мільйони розробників для обміну та встановлення JavaScript-програм.

Як працює EtherHiding?

Останній перехід Північної Кореї до використання EtherHiding у своєму арсеналі був відстежений з лютого 2025 року, і з того часу Google повідомляє, що відстежує UNC5342 — північнокорейського зловмисника, пов’язаного з хакерською групою FamousChollima, — який впроваджує EtherHiding у свою соціоінженерну кампанію Contagious Interview.

Використання шкідливого ПЗ EtherHiding передбачає вбудовування шкідливого коду у смарт-контракти публічних блокчейнів, а потім націлювання на користувачів через сайти WordPress, у які впроваджено невеликий фрагмент JavaScript-коду.

«Коли користувач відвідує скомпрометований сайт, завантажувач виконується у його браузері», — пояснили дослідники Google. «Цей скрипт потім взаємодіє з блокчейном, щоб отримати основний шкідливий пейлоад, що зберігається на віддаленому сервері».

Вони додали, що шкідливе ПЗ використовує виклик функції лише для читання (наприклад, eth_call), який не створює транзакцію у блокчейні. «Це забезпечує приховане отримання шкідливого ПЗ та уникає комісій за транзакції (тобто gas fees)», — зазначили вони. «Після отримання шкідливий пейлоад виконується на комп’ютері жертви. Це може призвести до різних шкідливих дій, таких як відображення фальшивих сторінок входу, встановлення інфостілерів або розгортання програм-вимагачів».

Дослідники попередили, що це «підкреслює постійну еволюцію» тактик кіберзлочинців. «По суті, EtherHiding означає перехід до хостингу нового покоління, де вбудовані функції блокчейн-технологій використовуються у зловмисних цілях».