朝鲜将恶意软件隐藏在区块链中 | 网络安全
概述
朝鲜黑客组织正在使用一种令人不寒而栗的新技术:EtherHiding。该技术将恶意代码直接隐藏在区块链上的智能合约中。根据Google威胁情报部门的调查,这是首次有记录显示国家行为体使用这种方法。
技术细节
智能合约恶意软件
- 朝鲜黑客将恶意软件存储在以太坊或BNB智能链的智能合约中
- 即使知道确切地址,任何人都无法删除这些恶意软件
- 合约地址:0x8eac3198dd72f3e07108c4c7cff43108ad48a71c
- 在4个月内观察到超过20次合约更新
- 每次交易成本约为1.37美元
攻击流程
- 社会工程学攻击:创建虚假公司(如BlockNovas LLC)
- 长期伪装:维护LinkedIn资料数月建立可信度
- 招聘流程:通过Telegram或Discord进行面试
- 技术测试:发送包含恶意代码的GitHub测试项目
恶意软件技术栈
- JADESNOW:JavaScript加载器,通过只读调用查询区块链
- 后续载荷:INVISIBLEFERRET、PITHOOK、COOKIENET
- 攻击目标:窃取加密货币并建立持久性访问
影响规模
- 2025年上半年被盗金额:20亿美元
- 2025年2月Lazarus组织从Bybit交易所窃取15亿美元
- 自2017年以来总计被盗超过60亿美元
防御挑战
- 区块链的不可审查性成为极权政权的完美武器
- 平台难以区分真实与虚假招聘者
- 独立开发者缺乏安全团队保护
- 攻击者使用"ClickFix"技术显示虚假错误信息
安全建议
区块链开发者应:
- 对收到的招聘邀保持警惕
- 验证招聘者身份真实性
- 避免直接运行未经验证的代码
- 意识到个人开发者已成为高价值目标
资助朝鲜导弹计划可不是我们想在简历上看到的副项目^^
资料来源:Google威胁情报、Mandiant研究人员