谷歌的威胁情报小组已警告称，北朝鲜正在利用EtherHiding——一种隐藏在区块链智能合约中的恶意软件，能够实现加密货币盗窃——进行网络黑客活动，预计2025年将成为该流氓国家加密盗窃的创纪录年份。

尽管谷歌研究人员表示，自2023年9月以来，EtherHiding已被财务动机驱动的威胁行为者用于滥用区块链来分发信息窃取者，但这是他们首次观察到国家行为者使用该恶意软件。该恶意软件对传统的打击和阻止方法特别具有抵抗力。

“EtherHiding带来了新的挑战，因为传统的攻击通常通过阻止已知域名和IP地址而被终止，”研究人员在一篇博客文章中表示，特别指出BNB智能链和以太坊上的智能合约曾承载恶意代码。恶意软件作者可以“利用区块链执行进一步的恶意软件传播阶段，因为智能合约是自主运行的，无法被关闭，”他们补充道。

虽然安全研究人员可以通过在官方区块链扫描器上将合约标记为恶意来提醒社区，但他们指出，“恶意活动仍然可以进行。”

北朝鲜黑客威胁

根据区块链分析公司Elliptic在10月发布的报告，北朝鲜黑客今年迄今已盗取超过20亿美元，其中大部分来自于2月份对加密货币交易所Bybit的14.6亿美元攻击。

朝鲜民主主义人民共和国还被认为对LND.fi、WOO X和Seedify的攻击负责，以及其他三十起黑客攻击，使该国迄今为止盗取的总金额超过60亿美元。根据情报机构的说法，这些资金帮助资助该国的核武器和导弹计划。

通过社交工程、部署恶意软件和复杂的网络间谍活动相结合，北朝鲜发展出了一系列战术，以获取公司金融系统或敏感数据的访问权限。该政权已证明愿意不惜一切代价做到这一点，包括设立假公司和以假工作邀请为目标开发者。

向Decrypt报告的案例显示，北朝鲜黑客组织现在正在雇佣非朝鲜人作为掩护，帮助他们通过面试以获得科技和加密公司职位，因为雇主对假装来自其他地方的朝鲜人面试变得更加警惕。攻击者还可以诱使受害者参加视频会议或假播客录音，这些平台随后显示错误消息或提示下载包含恶意代码的更新。

北朝鲜黑客还针对传统网络基础设施，上传了300多个恶意代码包到npm注册表，这是一个被数百万开发者用于共享和安装JavaScript软件的开源软件库。

EtherHiding是如何工作的？

北朝鲜最新的转变将EtherHiding纳入其武器库，可以追溯到2025年2月。自那时以来，谷歌表示已追踪到UNC5342——一个与该国黑客组织FamousChollima相关的北朝鲜威胁行为者——将EtherHiding纳入其社交工程活动“传染性面试”中。

使用EtherHiding恶意软件涉及将恶意代码嵌入公共区块链的智能合约中，然后通过注入小段JavaScript代码的WordPress网站来针对用户。

“当用户访问被攻陷的网站时，加载器脚本会在他们的浏览器中执行，”谷歌研究人员解释道。“该脚本随后与区块链通信，以检索存储在远程服务器上的主要恶意负载。”

他们补充说，该恶意软件部署了只读函数调用（例如eth_call），这不会在区块链上创建交易。“这确保了恶意软件的检索是隐秘的，并避免了交易费用（即燃气费），”他们指出。“一旦获取，恶意负载将在受害者的计算机上执行。这可能导致各种恶意活动，例如显示假登录页面、安装信息窃取恶意软件或部署勒索软件。”

研究人员警告说，这“突显了网络犯罪分子战术的持续演变”。“从本质上讲，EtherHiding代表了一种向下一代防弹托管的转变，其中区块链技术的固有特性被重新用于恶意目的。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。