Lo sviluppatore del core di Ethereum, Zak Cole, è stato recentemente preso di mira da un'operazione di phishing, in cui l'aggressore ha camuffato un link come invito a partecipare a un podcast. Secondo Zak, il tentativo si è basato su domini falsi e su un programma di installazione dannoso per rubare credenziali e dati crittografici dal suo computer.
Lunedì sera Cole ha scritto un thread X di 21 post, iniziando con il racconto di come la truffa è iniziata con un messaggio diretto su X che lo invitava a "unirsi al nostro podcast!"
2/21
Tutto è iniziato con un messaggio diretto su Twitter: "Unisciti al nostro podcast!"
L'aggressore ( @0xMauriceWang ) si è spacciato per qualcuno di @theempirepod . Dopo una rapida occhiata sembrava legittimo, quindi ho accettato. Poi è arrivata un'email da [email protected] con un link a @StreamYard. Il testo diceva… pic.twitter.com/fEvazOVFs5
— zak.eth (@0xzak) 15 settembre 2025
Il mittente, che utilizzava l'handle @0xMauriceWang sulla piattaforma social, si è spacciato per un rappresentante del podcast Empire di Blockwork e ha risposto con un'e-mail da quello che Zak ha definito "un dominio di podcast legittimo".
Un phisher ha cercato di "aiutare" Zak a installare un'app dannosa
Secondo lo sviluppatore di Ether Core, l'email conteneva un link visualizzato come streamyard.com, ma in realtà era un collegamento ipertestuale a streamyard.org. Quando Cole ha cliccato, la pagina ha restituito un messaggio di "errore di accesso" e gli ha chiesto di scaricare un'applicazione desktop per continuare.
Negli screenshot condivisi da Cole sul suo thread X, inizialmente ha rifiutato di effettuare l'installazione a causa delle politiche di sicurezza della sua azienda, ma l'aggressore lo ha implorato di aggiungerla "solo questa volta", inviando persino un tutorial video per mostrare come installare la presunta app.
"Amico, è StreamYard, hanno oltre 3 milioni di utenti. Anch'io ho un portatile aziendale, ma va tutto bene. La versione browser funziona a malapena, forse 1 tentativo su 20 si connette davvero. Sono abbastanza sicuro che la usino solo per marketing, ma in pratica tutti finiscono per usare l'app desktop. Molto più stabile…" si leggeva nel messaggio.
Fu allora che Cole vide "segnali d'allarme ovunque" e scaricò il pacchetto su una macchina di laboratorio controllata invece che sul suo computer di lavoro.
All'interno del file DMG, ha trovato un binario Mach-O nascosto denominato ".Streamyard", un caricatore Bash e una falsa icona del Terminale pensata per indurre gli utenti a trascinarla per ottenere l'accesso a livello di sistema.
Ha descritto il loader come una "matrioska di stronzate", spiegando come concatenasse frammenti base64, li decriptasse con una chiave, ricodificasse il risultato e lo eseguisse. Ogni passaggio era mirato a eludere il rilevamento antivirus.
"Decodificato offline, Stage2 era un AppleScript che trovava il volume montato, copiava .Streamyard in /tmp/.Streamyard, rimuoveva la quarantena con xattr -c, chmod +x, quindi eseguiva. Silenzioso, chirurgico e letale", ha spiegato lo sviluppatore, annotando la riga di codice.
Cole ha aggiunto che se una vittima avesse disabilitato macOS Gatekeeper o fosse caduta nella trappola del phishing Terminal Drag, il malware avrebbe silenziosamente esfiltrato tutto, comprese password, portafogli crittografici, e-mail, messaggi e foto.
La conversazione con l'aggressore rivela servizi di malware assunti
Invece di interrompere l'operazione, Cole ha partecipato a una chiamata in diretta con il truffatore dopo avergli chiesto aiuto, il quale sembrava nervoso e leggeva un copione mentre cercava di guidarlo attraverso la falsa installazione.
Durante la sessione di videochiamata, il programmatore di Ether ha iniziato a condividere lo schermo, scorrendo una cartella di video espliciti di Kim Jong Un per destabilizzare l'aggressore.
Mentre insisteva per avere risposte sul perché non funzionasse, il truffatore ha ammesso di non far parte di un'operazione finanziata dallo Stato, ma di far parte di una comunità attiva di hacker che aveva noleggiato un kit di phishing per circa 3.000 dollari al mese.
Cole ha osservato che l'aggressore ha utilizzato espressioni colloquiali come "mate" (amico) per indurre le vittime a credere di trovarsi nel Regno Unito o in prossimità degli Stati Uniti. L'aggressore ha anche rivelato di non avere il controllo diretto dell'infrastruttura e di non essere in grado di gestire i domini del payload, e di utilizzare un "budget cybercrime as a service".
14/21
Il bello è che hanno usato https://t.co/3gJrz4EVIl per la consegna (load.*.php?call=stream endpoints) e https://t.co/NqE3HGJVms ( @streamyardapp ) come esca ed entrambi sono stati bruciati (grazie@_SEAL_Org ). pic.twitter.com/B0zbCmxzpj
— zak.eth (@0xzak) 15 settembre 2025
Secondo i risultati dell'analisi di VirusTotal, società di intelligence sulla sicurezza basata sul crowdsourcing, l'infrastruttura di distribuzione utilizzata era lefenari.com, che ospitava payload tramite endpoint scriptati, e streamyard.org, utilizzato come esca. Entrambi i domini sono ora disattivati, con l'assistenza dell'azienda di sicurezza informatica Security Alliance.
Fatti notare dove conta. Pubblicizza su Cryptopolitan Research e raggiungi gli investitori e gli sviluppatori di criptovalute più abili.