Gli hacker nordcoreani stanno ora utilizzando un metodo basato su blockchain noto come EtherHiding per distribuire malware e facilitare le loro operazioni di furto di criptovalute. Secondo gli esperti, un hacker nordcoreano è stato scoperto utilizzando questo metodo, in cui gli aggressori incorporano codici come payload JavaScript all'interno di uno smart contract basato su blockchain.
Utilizzando questo metodo, gli hacker trasformano il registro decentralizzato in un sistema di comando e controllo (C2) resiliente. Secondo un post pubblicato sul blog di Google Threat Intelligence Group (GTIG), questa è la prima volta che viene osservato un autore di queste dimensioni utilizzare questo metodo. Il gruppo ha affermato che l'utilizzo di EtherHiding è conveniente rispetto ai tradizionali sforzi di rimozione e blocco. Il gruppo di intelligence sulle minacce ha affermato di aver monitorato l'autore della minaccia UNC5342 da febbraio 2025, integrando EtherHiding in una campagna di ingegneria sociale in corso.
Gli hacker nordcoreani si affidano a EtherHiding
Google ha affermato di aver collegato l'utilizzo di EtherHiding a una campagna di ingegneria sociale monitorata da Palo Alto Networks, denominata "Contagious Interview". Contagious Interview è stata condotta da criminali nordcoreani. Secondo i ricercatori di Socket, il gruppo ha ampliato la propria attività con un nuovo malware loader, XORIndex. Il loader ha accumulato migliaia di download, prendendo di mira persone in cerca di lavoro e individui ritenuti in possesso di risorse digitali o credenziali sensibili.
In questa campagna, gli hacker nordcoreani utilizzano il malware JADESNOW per distribuire una variante JavaScript di INVISIBLEFERRET, già utilizzato per compiere numerosi furti di criptovalute. La campagna prende di mira gli sviluppatori nei settori delle criptovalute e della tecnologia, rubando dati sensibili, risorse digitali e ottenendo l'accesso alle reti aziendali. Si basa inoltre su una tattica di ingegneria sociale che copia i processi di reclutamento legittimi utilizzando falsi reclutatori e aziende inventate.
Falsi reclutatori vengono utilizzati per attirare i candidati su piattaforme come Telegram o Discord. Successivamente, il malware viene diffuso nei loro sistemi e dispositivi tramite falsi test di codifica o download di software camuffati da valutazioni tecniche o soluzioni per i colloqui. La campagna utilizza un processo di infezione malware in più fasi, che di solito coinvolge malware come JADESNOW, INVISIBLEFERRET e BEAVERTAIL, per compromettere i dispositivi della vittima. Il malware colpisce i sistemi Windows, Linux e macOS.
I ricercatori descrivono nel dettaglio gli svantaggi di EtherHiding
EtherHiding offre un vantaggio maggiore agli aggressori, e GTIG sottolinea che rappresenta una minaccia particolarmente difficile da mitigare. Un elemento fondamentale di EtherHiding che desta preoccupazione è la sua natura decentralizzata. Ciò significa che è archiviato su una blockchain decentralizzata e senza autorizzazioni, rendendo difficile per le forze dell'ordine o le società di sicurezza informatica rimuoverlo, poiché non dispone di un server centrale. L'identità dell'aggressore è inoltre difficile da tracciare a causa della natura pseudonima delle transazioni blockchain .
È inoltre difficile rimuovere il codice dannoso dagli smart contract implementati sulla blockchain se non si è il proprietario del contratto. L'aggressore che controlla lo smart contract, in questo caso gli hacker nordcoreani, può anche scegliere di aggiornare il payload dannoso in qualsiasi momento. Sebbene i ricercatori di sicurezza possano provare ad avvisare la comunità di un contratto dannoso taggandolo, ciò non impedisce agli hacker di svolgere le loro attività dannose utilizzando lo smart contract.
Inoltre, gli aggressori possono recuperare il loro payload dannoso utilizzando chiamate di sola lettura che non lasciano una cronologia delle transazioni visibile sulla blockchain, rendendo difficile per i ricercatori tracciare le loro attività sulla blockchain. Secondo il rapporto di ricerca sulle minacce, EtherHiding rappresenta un "passaggio verso un hosting a prova di bomba di nuova generazione", in cui le caratteristiche più evidenti della tecnologia blockchain vengono utilizzate dai truffatori per scopi dannosi.
Iscriviti gratuitamente per 30 giorni a una community premium di trading di criptovalute , normalmente al costo di 100 $ al mese.