Północnokoreańscy hakerzy wykorzystują EtherHiding, ukrywanie malware w smart kontraktach Ethereum i BNB Smart Chain

Ostatnie innowacje technologiczne często stają się obosiecznym mieczem. Gdy świat zachwyca się potencjałem zdecentralizowanych finansów i łańcuchów bloków, hakerzy dostrzegają w nich idealną kryjówkę i możliwości działania. Analitycy Google Threat Intelligence Group biją na alarm. Północnokoreańska grupa szpiegowska Kimsuky, znana też jako APT43, zaczęła wykorzystywać publiczne blockchainy do hostowania złośliwego oprogramowania.

EtherHiding jest kolejnym krokiem w ewolucji cyberzagrożeń, wykorzystującym fundamentalną cechę zdecentralizowanych finansów, niemożność wyłączenia, do stworzenia praktycznie niezniszczalnej infrastruktury Command and Control dla złośliwego oprogramowania.

Atak PixNapping na Androidzie pozwala na kradzież kodów 2FA bez specjalnych uprawnień poprzez manipulację zrzutami ekranu

Nowa metoda dystrybucji złośliwego oprogramowania, ochrzczona przez specjalistów Google jako EtherHiding, polega na wykorzystaniu smart kontraktów na publicznych łańcuchach bloków, najczęściej BNB Smart Chain lub Ethereum, do ukrywania zaszyfrowanych fragmentów złośliwego kodu. Ta niekonwencjonalna lokalizacja stawia obrońców w bardzo trudnej sytuacji. Hakerzy, tacy jak ci z grupy Kimsuky, najpierw infekują ofiarę za pomocą standardowej socjotechniki, często podszywając się pod fałszywe aktualizacje przeglądarki lub kusząc fałszywymi ofertami pracy, co jest ich ulubionym schematem ataku. Początkowy loader, mały, niegroźny skrypt umieszczany na zaatakowanej stronie, czy w pozornie niewinnym pliku, ma tylko jedno zadanie, połączyć się z siecią blockchain. I w tym momencie następuje rewolucja.

Twoja gamingowa myszka może Cię podsłuchiwać. Sensory PixArt PAW3395 i PAW3399 zagrażają prywatności użytkowników

W przeciwieństwie do starych metod, gdzie ładowarka łączyła się ze scentralizowanym serwerem C&C (Command and Control) o znanym adresie IP, który można było łatwo zablokować, w EtherHiding ładowarka odwołuje się bezpośrednio do autonomicznego smart kontraktu. Kontrakt ten jest traktowany jak magazyn danych, przechowuje zaszyfrowane bloki właściwego payloadu. Po wywołaniu przez skrypt ofiary, kontrakt zwraca dane, które są następnie składane i deszyfrowane na komputerze użytkownika, tworząc gotowe do uruchomienia złośliwe oprogramowanie (często są to infostealery lub backdoory, jak np. JADESNOW czy INVISIBLEFERRET). To tak, jakby hakerzy zamiast chować klucz w ukrytej skrzynce pocztowej, umieścili go na publicznej tablicy ogłoszeń, której nikt nie może zdjąć, a która dodatkowo jest kopią w tysiącach miejsc na świecie.

Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0

Co to oznacza dla użytkownika? Przede wszystkim to, że nowość ta jest znaczącą ewolucją w kierunku odporności, tzw. bulletproof hosting nowej generacji. Wcześniejsze kampanie Kimsuky polegały na złośliwym użyciu serwisów takich jak Dropbox czy GitHub, które mogły (i często były) zablokowane po wykryciu. W przypadku blockchaina, zdecentralizowana natura sieci oznacza, że smart kontraktu nie da się usunąć ani zablokować jego adresu IP, bo nie jest on przypisany do żadnego IP. Jedynym sposobem na zatrzymanie zagrożenia byłoby zniszczenie całego łańcucha bloków, co jest praktycznie niemożliwe. Jak nowość wypada na tle konkurencji? To ogromny postęp w ukrywaniu C&C. Podczas gdy inne grupy APT wciąż polegają na efemerycznych domenach i skompromitowanych serwerach, Kimsuky gwarantuje sobie niemal wieczną dostępność swojej infrastruktury dystrybucyjnej. Długofalowe konsekwencje są jasne. O ile tradycyjne mechanizmy obrony sieciowej skupiające się na blokowaniu domen i adresów IP są bezradne, to jedyna skuteczna bariera pozostaje przy użytkowniku. Zasadniczo, EtherHiding zmusza systemy bezpieczeństwa do skupienia się wyłącznie na końcowym etapie ataku, czyli na blokowaniu faktycznego, złożonego pliku wykonywalnego i zapobieganiu socjotechnice, która inicjuje całą sekwencję. To przerzucenie ciężaru walki na analizę behawioralną i dokładną edukację użytkowników.