Co najmniej dwie różne organizacje hakerskie, w tym a Aktor powiązany z państwem Korei Północnej i a grupę przestępczą motywowaną finansowowykorzystują publiczne łańcuchy bloków do ukrywania złośliwego oprogramowania i zarządzania nim – wynika z badań przeprowadzonych przez Google Threat Intelligence Group. Ta metoda sprawia, że ich operacje są wysoce odporne na konwencjonalne próby zniszczenia. Technika, którą badacze nazwali EtherHiding, zasadniczo zmienia sposób, w jaki atakujący zarządzają złośliwym kodem i wdrażają go, osadzając instrukcje w inteligentnych kontraktach w publicznych blockchainach, zamiast polegać na konwencjonalnych serwerach dowodzenia i kontroli. Podejście to wykorzystuje zdecentralizowaną i niezmienną charakterystykę technologii blockchain, aby stworzyć coś, co badanie opisuje jako „kuloodporną” infrastrukturę. Robert Wallace, lider konsultingu w Mandiant, części Google Cloud, scharakteryzował rozwój sytuacji jako „eskalację krajobrazu zagrożeń”. Zauważył, że hakerzy opracowali metodę, która jest „odporna na ataki ze strony organów ścigania” i którą można „łatwo zmodyfikować na potrzeby nowych kampanii”. Podstawowa konstrukcja łańcucha bloków gwarantuje, że raz zarejestrowanych danych nie można zmienić ani usunąć, zapewniając atakującym trwałą i niezawodną platformę do ich operacji, która nie podlega typowym procedurom usuwania ukierunkowanym na scentralizowane serwery. EtherHiding po raz pierwszy zaobserwowano w 2023 r. podczas kampanii znanej jako ClearFake, w ramach której cyberprzestępcy kierujący się motywacją finansową wykorzystywali fałszywe monity o aktualizację przeglądarki, aby zwabić ofiary. Podstawowa koncepcja polega na przechowywaniu złośliwego kodu lub poleceń w ramach transakcji typu blockchain lub, częściej, inteligentnego kontraktu. Następnie atakujący odzyskują te informacje za pomocą wywołań tylko do odczytu do łańcucha bloków. Ponieważ te wywołania nie zapisują nowych danych ani nie przesyłają aktywów, nie tworzą widocznych transakcji w księdze publicznej. Ta niewidzialność umożliwia złośliwemu oprogramowaniu otrzymywanie instrukcji bez pozostawiania wyraźnego śladu dla analityków bezpieczeństwa. W rezultacie obrońcy nie mogą polegać na tradycyjnych wskaźnikach naruszenia, takich jak złośliwe domeny lub adresy IP, które mają kluczowe znaczenie w konwencjonalnym wykrywaniu i blokowaniu zagrożeń. W raporcie stwierdza się, że tak długo, jak blockchain działa, „złośliwy kod pozostaje dostępny”. Badacze ustalili, że obie grupy przystosowały EtherHiding do różnych celów. Powiązana z Koreą Północną grupa, oznaczona jako UNC5342, włącza tę technikę do wyrafinowanych kampanii socjotechnicznych mających na celu infiltrację sieci programistów i firm kryptowalutowych. Z kolei kierująca się finansami grupa UNC5142 wykorzystuje technologię EtherHiding w celu ułatwienia powszechnej dystrybucji złośliwego oprogramowania kradnącego informacje poprzez naruszanie bezpieczeństwa dużej liczby witryn WordPress. Północnokoreańska grupa zagrożeń UNC5342 zintegrowała technikę EtherHiding w szerszą operację polegającą na tym, że Sieci Palo Alto wcześniej nazywaną kampanią „Zaraźliwy wywiad”. Ta kampania wykorzystuje taktykę socjotechniki, podczas której napastnicy podszywają się pod osoby rekrutujące w profesjonalnych witrynach sieciowych, takich jak LinkedIn i różnych portalach z ofertami pracy. Zwracają się do twórców oprogramowania z fałszywymi ofertami pracy od sfabrykowanych firm, przy czym „BlockNovas LLC” i „Angeloper Agency” to dwa przykłady używanych fałszywych nazw firm. Celem atakujących jest zbudowanie relacji ze swoimi celami przed przeniesieniem ich do następnego etapu ataku. Po nawiązaniu pierwszego kontaktu osoby stojące za UNC5342 zwabiały docelowych programistów do inscenizowanych wywiadów przeprowadzanych w aplikacjach do szyfrowania wiadomości, takich jak Telegram i Discord. Podczas czegoś, co zostało zaprezentowane jako wyzwanie związane z oceną techniczną lub kodowaniem, ofiary zostały poinstruowane, aby pobrały i uruchomiły pliki z publicznych repozytoriów w GitHub lub npm. Pliki te rzekomo stanowiły część procesu przesłuchania, ale potajemnie zawierały złośliwe oprogramowanie. Główne rodziny szkodliwego oprogramowania zidentyfikowane w tej kampanii to JadeSnow – downloader i InvisibleFerret – backdoor. Obydwa złośliwe narzędzia zostały zaprojektowane tak, aby wykorzystywać EtherHiding do komunikacji typu „dowodzenie i kontrola”, łącząc się z kontrolowanymi przez atakujących inteligentnymi kontraktami wdrożonymi zarówno w sieciach Ethereum, jak i BNB Smart Chain w celu otrzymania instrukcji. Łańcuch infekcji inicjowany przez UNC5342 jest metodyczny. Narzędzie do pobierania JadeSnow jest pierwszym komponentem uruchamianym w systemie ofiary. Jest zaprogramowany do wysyłania zapytań do konkretnych inteligentnych kontraktów w łańcuchu bloków w celu pobrania zaszyfrowanych ładunków JavaScript. Ładunki te, po odszyfrowaniu, są odpowiedzialne za dostarczenie głównego backdoora, InvisibleFerret. Gdy złośliwe oprogramowanie InvisibleFerret zostanie zainstalowane i aktywowane na zaatakowanej maszynie, zapewnia atakującym szeroki zakres możliwości. Obejmują one możliwość eksfiltracji wrażliwych danych, przechwytywania danych uwierzytelniających użytkownika i sprawowania zdalnej kontroli nad zainfekowanym systemem. W niektórych zaobserwowanych przypadkach badacze zauważyli, że InvisibleFerret wdrożył dodatkowy moduł kradnący dane uwierzytelniające, zaprojektowany specjalnie z myślą o przeglądarkach internetowych i popularnych portfelach kryptowalut, takich jak MetaMask i Phantom. Dane skradzione w wyniku tych działań są następnie eksfiltrowane na serwery kontrolowane przez osoby atakujące, a także wysyłane do prywatnych kanałów Telegramu. Kampania służy reżimowi północnokoreańskiemu podwójnemu celowi: generowaniu nielegalnych dochodów poprzez kradzież kryptowalut i gromadzeniu strategicznych informacji wywiadowczych od skompromitowanych programistów i ich pracodawców. W odrębnym dochodzeniu Google Mandiant szczegółowo opisał działania UNC5142, ugrupowania zagrażającego motywowanego finansowo, które również opiera się na EtherHiding. Głównym celem tej grupy jest infekowanie ogromnej liczby witryn internetowych w celu dystrybucji różnych rodzin złośliwego oprogramowania kradnącego informacje. Metoda tej grupy polega na naruszaniu zabezpieczeń witryn WordPress, które mają luki w zabezpieczeniach, i wstrzykiwaniu do nich złośliwych programów do pobierania JavaScript, zwanych łącznie ClearShort. Skrypty te zaprojektowano tak, aby wykorzystywały inteligentne kontrakty w inteligentnym łańcuchu BNB jako odporną warstwę kontrolną, pobierającą ładunki drugiego etapu lub przekierowujące ofiary na strony docelowe hostowane przez osobę atakującą. Infrastruktura operacyjna UNC5142 wyróżnia się szerokim wykorzystaniem legalnych usług w celu maskowania szkodliwych działań. Grupa hostuje swoje złośliwe strony docelowe w usłudze Pages.dev Cloudflare, dzięki czemu ruch wydaje się bardziej uzasadniony, podczas gdy podstawowe informacje dotyczące dowodzenia i kontroli są przechowywane w łańcuchu bloków. Do połowy 2025 r. zespół Google zidentyfikował ślady wstrzykniętych skryptów UNC5142 w około 14 000 różnych witrynach internetowych. Architektura grupy również ewoluowała, odchodząc od pojedynczego inteligentnego kontraktu do bardziej złożonego, trójwarstwowego systemu, który naśladuje programowy „wzorzec proxy”. Ta zaawansowana struktura składa się z umowy dotyczącej routera, która kieruje ruchem, umowy dotyczącej pobierania odcisków palców w celu profilowania systemu ofiary oraz umowy dotyczącej ładunku, która przechowuje zaszyfrowane dane i klucze deszyfrujące. Konstrukcja ta umożliwia atakującym aktualizację infrastruktury, takiej jak adresy URL przynęt lub klucze szyfrowania, w tysiącach zainfekowanych witryn jednocześnie za pośrednictwem pojedynczej transakcji typu blockchain, która może kosztować zaledwie jednego dolara opłat sieciowych. Aby dostarczyć ostateczne ładunki, UNC5142 wykorzystuje taktykę inżynierii społecznej, taką jak wyświetlanie fałszywych stron weryfikacyjnych Cloudflare lub fałszywych monitów o aktualizację przeglądarki Chrome. Celem tych przynęt jest nakłonienie ofiar do wykonania złośliwych poleceń, zazwyczaj ukrytych w ramach pozornie uzasadnionego działania. Pomyślna egzekucja prowadzi do dostarczenia skutecznych złodziei informacji, w tym Vidar, Lummac.V2 i RadThief. Kampanie grupy wykazują wyraźny postęp w zakresie zaawansowania technicznego, z przejściem w stronę silniejszych standardów szyfrowania, takich jak AES-GCM, i bardziej zaawansowanych technik zaciemniania. W jednym udokumentowanym przykładzie JavaScript atakującego pobrał zaszyfrowany kod HTML z Cloudflare, który następnie został odszyfrowany po stronie klienta. Ta odszyfrowana strona skłoniła użytkownika do uruchomienia ukrytego polecenia programu PowerShell, które pobrało ostateczny ładunek, często zamaskowany jako łagodny plik multimedialny. Analiza transakcji typu blockchain ujawniła, że UNC5142 utrzymuje co najmniej dwie równoległe infrastruktury, które badacze nazwali główną i drugorzędną. Obydwa korzystały z identycznego kodu inteligentnego kontraktu i były finansowane z portfeli kryptowalut połączonych za pośrednictwem giełdy OKX. Zaobserwowano, że osoby atakujące aktualizowały obie infrastruktury w odstępach kilku minut, co zdecydowanie sugeruje skoordynowaną kontrolę sprawowaną przez jednego, zorganizowanego podmiotu. Z badania wynika, że ani UNC5342, ani UNC5142 nie wchodzą w bezpośrednią interakcję z węzłami blockchain. Zamiast tego polegają na scentralizowanych usługach, takich jak publiczne punkty końcowe zdalnego wywoływania procedur (RPC) lub zewnętrzni dostawcy API, w celu pobierania danych z łańcucha bloków. Zależność ta tworzy to, co badacze nazywają „punktami obserwacji i kontroli”, w których obrońcy lub usługodawcy mogliby potencjalnie interweniować. W przypadku UNC5342 badacze skontaktowali się z kilkoma dostawcami API wykorzystywanymi w kampanii. Odpowiedź była niespójna; podczas gdy niektórzy dostawcy zareagowali szybko, aby zablokować złośliwą aktywność, inni nie. Naukowcy stwierdzili, że ta nierówna współpraca „zwiększa ryzyko rozprzestrzeniania się tej techniki wśród podmiotów zagrażających”. Nieodłączny charakter inteligentnych kontraktów stanowi poważne wyzwanie, ponieważ są one zarówno publiczne, jak i niezmienne. Po wdrożeniu ich kod nie może zostać usunięty ani zablokowany przez zespoły ds. bezpieczeństwa, nawet jeśli zostanie oznaczony jako złośliwy. Sieciowe filtry bezpieczeństwa, zaprojektowane z myślą o tradycyjnych wzorcach ruchu internetowego, mają trudności z skuteczną analizą i blokowaniem zdecentralizowanych wzorców związanych z technologiami Web3. Anonimowość, jaką zapewniają adresy portfeli kryptowalut, w połączeniu z wyjątkowo niskim kosztem transakcji typu blockchain, pozwala cyberprzestępcom szybko zmieniać swoją taktykę i prowadzić kampanie w nieskończoność. Badacze oszacowali, że w przypadku UNC5142 aktualizacja całego łańcucha dostarczania szkodliwego oprogramowania kosztuje od 25 centów do 1,50 dolara za transakcję, co zapewnia atakującym elastyczność operacyjną przewyższającą konwencjonalną infrastrukturę.
