朝鲜黑客利用区块链隐藏加密货币窃取恶意软件

谷歌安全研究人员发现新一轮朝鲜网络攻击正在利用区块链技术隐藏恶意软件并协助加密货币盗窃。研究人员指出，这是他们首次发现国家级攻击者将去中心化网络用作恶意软件分发基础设施的一部分。

DPRK采用EtherHiding技术

根据谷歌威胁情报小组的报告，与朝鲜有关的黑客组织UNC5342开始使用名为EtherHiding的技术，将恶意代码嵌入到以太坊和BNB智能链等公共区块链的智能合约中。只要区块链在运行，恶意代码就能保持可访问状态。

与传统可被关闭或列入黑名单的托管服务器不同，智能合约具有不可变性和去中心化特性。这种弹性使得EtherHiding特别难以破坏，被谷歌研究人员描述为向"下一代防弹托管"的转变。

EtherHiding工作原理

EtherHiding使攻击者能够将基于JavaScript的有效载荷直接存储在区块链上，有效地将其转变为去中心化的命令与控制系统。当受害者访问受感染的网站或打开恶意文件时，轻量级加载程序脚本通过只读调用从区块链检索加密代码。由于不创建区块链交易，这种检索行为隐蔽且无需支付燃气费。

下载后，有效载荷在本地执行，通常部署JADESNOW加载程序，该程序会获取INVISIBLEFERRET后门。这种多层感染链为攻击者提供了对目标系统的长期访问权限， enabling数据窃取、间谍活动和加密货币钱包入侵。

EtherHiding的设计为威胁行为者提供了多重优势：去中心化和不可变性防止了清除操作，假名性隐藏了身份，灵活性允许不断更新有效载荷。这些特性共同使EtherHiding成为有弹性的恶意软件分发机制。

社交工程活动

自2025年2月以来，UNC5342已将EtherHiding整合到名为"传染性面试"的更广泛社交工程活动中，目标锁定加密货币和技术领域的开发人员。攻击者冒充合法公司的招聘人员，诱使受害者参与虚假的工作面试或编码挑战。在这些互动中，受害者被要求从GitHub或npm存储库下载文件——这些文件包含伪装成编码评估或技术练习的恶意软件。

一旦执行，这些恶意文件就会启动三阶段感染过程。JADESNOW下载程序首先收集基本系统数据并获取其他组件，随后部署INVISIBLEFERRET后门。此后门支持远程访问、数据窃取和网络内横向移动。在某些入侵中，恶意软件可以从运行Windows、macOS或Linux的系统中窃取凭据、浏览器数据和加密货币钱包密钥。

除了经济利益，这些行动符合朝鲜的双重目标：产生收入以规避国际制裁，并为未来的间谍行动收集技术情报。

尽管EtherHiding利用了去中心化网络，但研究人员指出，朝鲜攻击者仍然依赖集中式Web服务与区块链交互。这些中介——如公共API提供商和浏览器平台——代表了防御者可以监控、标记并可能阻止恶意活动的关键点。谷歌强调，这些服务提供商的协调行动对于遏制EtherHiding的扩散至关重要。

防御策略

针对基于区块链的威胁，IP封锁或域名清除等传统安全措施基本无效。然而，组织可以通过技术和基于策略的控制组合来减少暴露风险。

• 限制风险下载：通过集中式浏览器管理策略阻止可执行文件类型（.exe、.msi、.bat、.dll）的下载
• 自动化浏览器更新：使用企业管理工具自动推送安全更新，降低对虚假"更新"提示的敏感性
• 强制执行严格身份验证：对所有管理账户要求多因素身份验证和最小权限访问
• 启用增强安全浏览：在托管浏览器中激活实时网络钓鱼和恶意软件保护
• 监控区块链活动：与威胁情报提供商合作，识别和标记可疑的智能合约或区块链交易
• 培训用户识别社交工程：强化意识，让用户了解合法招聘人员不会要求下载可执行文件或手动软件更新

Chrome企业策略，如DownloadRestrictions、Managed Updates和Safe Browsing强制执行，可以通过自动化用户保护和限制攻击者机会来有效破坏EtherHiding活动。

朝鲜使用EtherHiding展示了国家支持的黑客如何继续利用新兴技术来逃避检测并扩大其影响范围。通过将恶意代码嵌入区块链智能合约中，DPRK威胁行为者在其操作中实现了新水平的持久性和弹性。为了应对此类不断演变的威胁，组织应采用零信任安全模型。