Северокорейские хакеры используют блокчейн в новой кампании «EtherHiding»
EtherHiding использует смарт-контракты для хранения и распространения вредоносного кода, что делает его практически невозможным для удаления из-за неизменяемой структуры блокчейна.
Новая киберугроза исходит из Северной Кореи: поддерживаемые государством хакеры экспериментируют с внедрением вредоносного кода непосредственно в блокчейн-сети.
Группа Threat Intelligence Group (GTIG) компании Google сообщила 17 октября, что эта техника, получившая название EtherHiding, знаменует собой новую эволюцию в способах сокрытия, распространения и управления вредоносным ПО в децентрализованных системах.
Что такое EtherHiding?
GTIG объяснила, что EtherHiding позволяет злоумышленникам использовать смарт-контракты и публичные блокчейны, такие как Ethereum и BNB Smart Chain, для хранения вредоносных нагрузок.
Как только фрагмент кода загружается в эти децентрализованные реестры, удалить или заблокировать его становится практически невозможно из-за их неизменяемой природы.
«Хотя смарт-контракты предлагают инновационные способы создания децентрализованных приложений, их неизменяемая природа используется в EtherHiding для размещения и распространения вредоносного кода таким образом, что его невозможно легко заблокировать», — написали в GTIG.
На практике хакеры взламывают легитимные сайты на WordPress, часто используя неустранённые уязвимости или украденные учетные данные.
Получив доступ, они вставляют несколько строк JavaScript — так называемый «загрузчик» — в код сайта. Когда посетитель открывает заражённую страницу, загрузчик незаметно подключается к блокчейну и получает вредоносное ПО с удалённого сервера.

GTIG отметила, что эта атака часто не оставляет видимых следов транзакций и требует минимальных или вовсе не требует комиссий, поскольку происходит вне цепочки. Это, по сути, позволяет злоумышленникам действовать незаметно.
Примечательно, что GTIG отследила первый случай использования EtherHiding в сентябре 2023 года, когда он появился в кампании под названием CLEARFAKE, обманывавшей пользователей фальшивыми уведомлениями об обновлении браузера.
Как предотвратить атаку
Исследователи в области кибербезопасности отмечают, что эта тактика свидетельствует о смене цифровой стратегии Северной Кореи: от простого похищения криптовалют к использованию самого блокчейна в качестве скрытого оружия.
«EtherHiding представляет собой переход к хостингу следующего поколения, где основные свойства блокчейн-технологий используются в злонамеренных целях. Эта техника подчеркивает постоянную эволюцию киберугроз, поскольку злоумышленники адаптируются и используют новые технологии в своих интересах», — заявили в GTIG.
Джон Скотт-Рейлтон, старший исследователь Citizen Lab, описал EtherHiding как «эксперимент на ранней стадии». Он предупредил, что сочетание этой техники с автоматизацией на базе искусственного интеллекта может сделать будущие атаки гораздо сложнее для обнаружения.
«Я ожидаю, что злоумышленники также будут экспериментировать с прямой загрузкой эксплойтов zero click в блокчейны, нацеливаясь на системы и приложения, которые обрабатывают блокчейны... особенно если они иногда размещаются на тех же системах и сетях, которые обрабатывают транзакции или содержат кошельки», — добавил он.
Этот новый вектор атаки может иметь серьезные последствия для криптоиндустрии, учитывая, что северокорейские злоумышленники чрезвычайно активны.
По данным TRM Labs, связанные с Северной Кореей группы уже украли более $1.5 миллиардов в криптоактивах только в этом году. Следователи считают, что эти средства помогают финансировать военные программы Пхеньяна и обходить международные санкции.
Учитывая это, GTIG рекомендовала пользователям криптовалют снизить риски, блокируя подозрительные загрузки и ограничивая несанкционированные веб-скрипты. Группа также призвала специалистов по безопасности выявлять и маркировать вредоносный код, встроенный в блокчейн-сети.
Дисклеймер: содержание этой статьи отражает исключительно мнение автора и не представляет платформу в каком-либо качестве. Данная статья не должна являться ориентиром при принятии инвестиционных решений.
Вам также может понравиться
Азиатские биржи ужесточают меры против криптовалютных накопителей, выдающих себя за публичные компании
Рынки прогнозов говорят, что остановка работы правительства будет рекордной: Asia Morning Briefing

Федеральная резервная система рассматривает возможность открытия прямых счетов для криптовалютных компаний
Популярное
ДалееЦены на крипто
Далее








