Nordkoreanische Hacker verstecken nun Schadsoftware zum Diebstahl von Kryptowährungen in der Blockchain

Nordkoreanische Hacker nutzen nun eine Blockchain-basierte Methode namens EtherHiding, um Schadsoftware einzuschleusen und so ihre Kryptodiebstähle zu erleichtern. Experten zufolge wurde ein nordkoreanischer Hacker entdeckt, der diese Methode anwendete. Dabei betten Angreifer Codes wie JavaScript-Payloads in einen Blockchain-basierten Smarttracein.

Mithilfe dieser Methode verwandeln die Hacker das dezentrale Ledger in eine widerstandsfähige Kommando- und Kontrollstruktur (C2). Laut einem Blogbeitrag der Google Threat Intelligence Group (GTIG) ist dies das erste Mal, dass ein Akteur dieser Größenordnung diese Methode anwendet. Die GTIG behauptet, EtherHiding sei angesichts herkömmlicher Maßnahmen zur Abschaltung und Sperrung von Accounts besonders effektiv. Die Threat Intelligence Group gibt an, den Bedrohungsakteur UNC5342 seit Februar 2025 zu tracund EtherHiding in eine laufende Social-Engineering-Kampagne integriert zu haben.

Nordkoreanische Hacker wenden sich EtherHiding zu

Google gab bekannt , dass die Nutzung von EtherHiding mit einer Social-Engineering-Kampagne in Verbindung steht, tracwird. Contagious Interview wurde von nordkoreanischen Akteuren durchgeführt. Laut Forschern von Socket hat die Gruppe ihre Aktivitäten mit einem neuen Malware-Loader namens XORIndex ausgeweitet. Dieser Loader wurde bereits tausendfach heruntergeladen und zielt auf Jobsuchende sowie Personen ab, die mutmaßlich über digitale Vermögenswerte oder sensible Zugangsdatendent.

In dieser Kampagne nutzen nordkoreanische Hacker die Malware JADESNOW, um eine JavaScript-Variante von INVISIBLEFERRET zu verbreiten, die bereits für zahlreiche Kryptowährungsdiebstähle eingesetzt wurde. Die Kampagne zielt auf Entwickler in der Krypto- und Technologiebranche ab, um sensible Daten und digitale Vermögenswerte zu stehlen und sich Zugang zu Unternehmensnetzwerken zu verschaffen. Im Zentrum steht dabei eine Social-Engineering-Taktik, die legitime Rekrutierungsprozesse mithilfe von gefälschten Personalvermittlern und erfundenen Unternehmen imitiert.

Gefälschte Recruiter-Profile werden eingesetzt, um Kandidaten auf Plattformen wie Telegram oder Discord zu locken. Anschließend wird Schadsoftware über gefälschte Programmieraufgaben oder Software-Downloads, die als technische Tests oder Lösungen für Vorstellungsgespräche getarnt sind, auf deren Systeme und Geräte eingeschleust. Die Kampagne nutzt einen mehrstufigen Infektionsprozess, bei dem üblicherweise Schadsoftware wie JADESNOW, INVISIBLEFERRET und BEAVERTAIL zum Einsatz kommt, um die Geräte der Opfer zu kompromittieren. Die Schadsoftware befällt Windows-, Linux- und macOS-Systeme.

Forscher erläutern die Nachteile von EtherHiding

EtherHiding bietet Angreifern einen entscheidenden Vorteil, und GTIG weist darauf hin, dass es eine besonders schwer abzuwehrende Bedrohung darstellt. Ein zentrales und besorgniserregendes Merkmal von EtherHiding ist seine dezentrale Struktur. Die Daten werden auf einer erlaubnisfreien und dezentralen Blockchain gespeichert, was es Strafverfolgungsbehörden und Cybersicherheitsunternehmen erschwert, EtherHiding zu unterbinden, da kein zentraler Server existiert. Auch die IdentitätdentAngreifers lässt sich tracaufgrund der pseudonymen Natur der Blockchain .

Es ist zudem schwierigtracSchadcode in auf der Blockchain bereitgestellten Smarttraczu entfernen, wenn man nicht deren Eigentümer ist. Der Angreifer, der die Kontrolle über den Smarttrachat – in diesem Fall die nordkoreanischen Hacker –, kann die Schadsoftware jederzeit aktualisieren. Sicherheitsforscher versuchen zwar, die Öffentlichkeit durch Kennzeichnung eines schädlichentraczu warnen, dies hindert Hacker jedoch nicht daran, ihre Angriffe mithilfe des Smarttracdurchzuführen.

Zudem können Angreifer ihre Schadsoftware mithilfe von Lesezugriffen abrufen, die keine sichtbare Transaktionshistorie in der Blockchain hinterlassen. Dies erschwert es Forschern, ihre Aktivitäten in der Blockchain trac. Laut dem Bedrohungsforschungsbericht stellt EtherHiding einen „Wandel hin zu einer ausfallsicheren Hosting-Lösung der nächsten Generation“ dar, bei der die auffälligsten Merkmale der Blockchain-Technologie von Betrügern für böswillige Zwecke missbraucht werden.