Північнокорейські хакери, які діють під контролем влади країни, почали використовувати публічні блокчейни, зокрема Ethereum та BNB Smart Chain, як платформу для розповсюдження небезпечного програмного забезпечення. Відомо, що одне з угруповань уже інтегрує шкідливий код безпосередньо у смарт-контракти цих мереж.
Про це розповідає ProIT
Новий підхід до кіберзагроз: схема EtherHiding
За даними аналітиків Google Threat Intelligence Group, зловмисники впровадили схему під назвою EtherHiding. Вона дозволяє перетворити саму структуру блокчейну — що донедавна вважалася гарантією безпеки — на інструмент для складних кібератак. Особливість полягає у тому, що шкідливий код закріплюється у смарт-контрактах, які зберігаються у блокчейні назавжди. Навіть адміністратори платформи не можуть змінити чи видалити їх.
Механізм EtherHiding не потребує традиційних серверів для поширення ПЗ, адже блокчейн виконує цю роль самостійно. Вартість створення або редагування контракту для хакерів становить менше 2 доларів, а анонімність блокчейну приховує всі операції. Виявити атаки майже неможливо, оскільки шкідливий код передається без явних слідів у журналах транзакцій.
Соціальна інженерія та багаторівнева атака
Зловмисники не обмежуються лише технічними засобами: вони активно використовують методи соціальної інженерії. Зокрема, намагаються отримати роботу у великих компаніях, що працюють із блокчейном, надсилаючи розробникам фальшиві вакансії із «тестовими завданнями». У цих завданнях приховано перший компонент зараження. Після його встановлення система автоматично завантажує додаткові шкідливі модулі прямо з блокчейну, оминаючи будь-які централізовані сервери, що дозволяє зловмисникам оновлювати або змінювати код без відома систем захисту.
Угруповання UNC5342, яке Google ідентифікує як північнокорейське, застосовує комплекс JadeSnow для завантаження додаткових шкідливих компонентів з блокчейнів. Під час атак фіксувалися перемикання між Ethereum і BNB Smart Chain, що дає змогу зменшити витрати та ускладнює роботу фахівців із кібербезпеки, які намагаються простежити ланцюжок кібератак.
Ще одна група, UNC5142, також використовує схему EtherHiding для досягнення фінансової вигоди. Аналітики відзначають, що такі практики швидко поширюються серед досвідчених кіберзлочинців, оскільки дозволяють обходити більшість традиційних систем захисту.
децентралізація, яка свого часу зробила блокчейн практично невразливим до цензури, тепер може обернутися проти користувачів.
За інформацією аналітичної компанії Elliptic, з початку 2025 року групи, пов’язані з Пхеньяном, викрали цифрових активів на суму понад 2 мільярди доларів. Експерти з кібербезпеки попереджають, що зростання активності північнокорейських хакерів свідчить про новий рівень загроз для учасників криптовалютного ринку.
