朝鮮駭客利用「EtherHiding」在Ethereum、BNB區塊鏈上託管惡意軟體：Google

Google 的 Threat Intelligence Group 警告稱，北韓正在利用 EtherHiding——一種隱藏於區塊鏈 smart contracts 中並能實現加密貨幣竊取的惡意軟體——進行網路駭客行動，隨著 2025 年的到來，這個流氓國家有望創下加密貨幣竊盜的新紀錄。

儘管 Google 研究人員表示，自 2023 年 9 月以來，EtherHiding 已被以財務為動機的威脅行為者濫用 blockchain 來分發資訊竊取工具，但這是他們首次觀察到國家級行為者使用該惡意軟體。這種惡意軟體對傳統的下架和封鎖方法具有極強的抗性。

「EtherHiding 帶來了新的挑戰，因為傳統攻擊通常可以通過封鎖已知網域和 IP 來阻止，」研究人員在部落格文章中表示，並特別指出 BNB Smart Chain 和 Ethereum 上的 smart contracts 曾經承載過惡意程式碼。他們補充說，惡意軟體作者可以「利用區塊鏈進行進一步的惡意軟體傳播，因為 smart contracts 是自動運作且無法關閉的。」

他們指出，雖然安全研究人員可以通過在官方區塊鏈掃描器上標記合約為惡意來提醒社群，「但惡意活動仍然可以被執行。」

北韓駭客威脅

根據區塊鏈分析公司 Elliptic 於 10 月發布的報告，北韓駭客今年迄今已竊取超過 20 億美元，其中大部分來自 2 月對加密貨幣交易所 Bybit 的 14.6 億美元攻擊。

DPRK 也被認為對 LND.fi、WOO X 和 Seedify 的攻擊負有責任，以及另外三十起駭客事件，使該國至今竊取的總金額超過 60 億美元。根據情報機構的說法，這些資金幫助資助該國的核武和飛彈計畫。

北韓通過社交工程、部署惡意軟體和高級網路間諜活動等多種手段，獲取企業的金融系統或敏感數據的存取權。該政權已證明願意不擇手段，包括設立假公司和以虛假就業邀約鎖定開發者。

據 Decrypt 報導的案例顯示，北韓駭客組織現在還會僱用非韓國人作為門面，幫助他們通過面試，進而在科技和加密貨幣公司獲得職位，因為雇主對北韓人冒充其他國家人士參加面試變得更加警惕。攻擊者還會誘使受害者參加視訊會議或假播客錄製，這些平台會顯示錯誤訊息或提示下載更新，實際上內含惡意程式碼。

北韓駭客也曾針對傳統網路基礎設施，在 npm registry（一個數百萬開發者用於分享和安裝 JavaScript 軟體的開源軟體倉庫）上傳超過 300 個 惡意程式碼套件。

EtherHiding 如何運作？

北韓最近將 EtherHiding 納入其武器庫的行動可追溯至 2025 年 2 月，Google 表示自那時起，他們已追蹤到與該國駭客組織 FamousChollima 有關的北韓威脅行為者 UNC5342，將 EtherHiding 納入其社交工程活動 Contagious Interview。

EtherHiding 惡意軟體的使用方式是將惡意程式碼嵌入公共區塊鏈的 smart contracts，然後通過注入少量 JavaScript 程式碼的 WordPress 網站鎖定用戶。

「當用戶造訪受感染的網站時，載入器腳本會在他們的瀏覽器中執行，」Google 研究人員解釋道。「該腳本隨後會與區塊鏈通訊，以從遠端伺服器檢索儲存的主要惡意載荷。」

他們補充說，該惡意軟體會部署唯讀功能呼叫（如 eth_call），這不會在區塊鏈上產生交易。「這確保了惡意軟體的檢索過程具有隱蔽性，並避免產生交易費用（即 gas 費），」他們指出。「一旦獲取，惡意載荷便會在受害者電腦上執行。這可能導致各種惡意行為，例如顯示假登入頁面、安裝資訊竊取惡意軟體，或部署勒索軟體。」

研究人員警告，這「凸顯了網路犯罪分子手法的不斷演變」。他們表示：「本質上，EtherHiding 代表著向下一代防彈主機的轉變，區塊鏈技術的固有特性被重新利用於惡意目的。」