Gli hacker nordcoreani ora nascondono malware che rubano criptovalute con la blockchain

Gli hacker nordcoreani stanno ora utilizzando un metodo basato su blockchain noto come EtherHiding per distribuire malware e facilitare le loro operazioni di furto ditrac. Secondo gli esperti, un hacker nordcoreano è stato scoperto utilizzando questo metodo, in cui gli aggressori incorporano codici come payload JavaScript all'interno di uno smart contract basato su blockchain.

Utilizzando questo metodo, gli hacker trasformano il registro decentralizzato in un sistema di comando e controllo (C2) resiliente. Secondo un post pubblicato sul blog di Google Threat Intelligence Group (GTIG), questa è la prima volta che un autore di queste dimensioni utilizza questo metodo. Il gruppo ha affermato che l'utilizzo di EtherHiding è conveniente rispetto ai tradizionali sforzi di rimozione e blocco. Il gruppo di intelligence sulle minacce ha affermato di aver tracl'autore della minaccia UNC5342 da febbraio 2025, integrando EtherHiding in una campagna di ingegneria sociale in corso.

Gli hacker nordcoreani si affidano a EtherHiding

Google ha affermato di aver collegato l'utilizzo di EtherHiding a una campagna di ingegneria sociale tracda Palo Alto Networks come Contagious Interview. Contagious Interview è stata condotta da attori nordcoreani. Secondo i ricercatori di Socket, il gruppo ha ampliato la sua attività con un nuovo malware loader, XORIndex. Il loader ha accumulato migliaia di download, con obiettivi rappresentati da persone in cerca di lavoro e individui ritenuti in possesso di risorse digitali o credenzialident.

In questa campagna, gli hacker nordcoreani utilizzano il malware JADESNOW per distribuire una variante JavaScript di INVISIBLEFERRET, già utilizzato per compiere numerosi furti di criptovalute. La campagna prende di mira gli sviluppatori nei settori delle criptovalute e della tecnologia, rubando dati sensibili, risorse digitali e ottenendo l'accesso alle reti aziendali. Si basa inoltre su una tattica di ingegneria sociale che copia i processi di reclutamento legittimi utilizzando falsi reclutatori e aziende inventate.

Falsi reclutatori vengono utilizzati per attirare i candidati su piattaforme come Telegram o Discord. Successivamente, il malware viene diffuso nei loro sistemi e dispositivi tramite falsi test di codifica o download di software camuffati da valutazioni tecniche o soluzioni per i colloqui. La campagna utilizza un processo di infezione malware in più fasi, che di solito coinvolge malware come JADESNOW, INVISIBLEFERRET e BEAVERTAIL, per compromettere i dispositivi della vittima. Il malware colpisce i sistemi Windows, Linux e macOS.

I ricercatori descrivono nel dettaglio gli svantaggi di EtherHiding

EtherHiding offre un vantaggio maggiore agli aggressori, e GTIG sottolinea che rappresenta una minaccia particolarmente difficile da mitigare. Un elemento fondamentale di EtherHiding che desta preoccupazione è la sua natura decentralizzata. Ciò significa che è archiviato su una blockchain decentralizzata e senza autorizzazioni, rendendo difficile per le forze dell'ordine o le società di sicurezza informatica rimuoverlo poiché non dispone di un server centrale. L'identitàdentè inoltre difficile da traca causa della natura pseudonima delle blockchain .

È anche difficile rimuovere il codice dannoso negli smarttracdistribuiti sulla blockchain se non si è il proprietario deltrac. L'attaccante che ha il controllo dello smarttrac, in questo caso gli hacker nordcoreani, può anche scegliere di aggiornare il payload dannoso in qualsiasi momento. Sebbene i ricercatori di sicurezza possano provare ad avvisare la comunità di untracdannoso taggandolo, ciò non impedisce agli hacker di svolgere le loro attività dannose utilizzando lo smarttrac.

Inoltre, gli aggressori possono recuperare il loro payload dannoso utilizzando chiamate di sola lettura che non lasciano una cronologia delle transazioni visibile sulla blockchain, rendendo difficile per i ricercatori tracle loro attività sulla blockchain. Secondo il rapporto di ricerca sulle minacce, EtherHiding rappresenta un "passaggio verso l'hosting bulletproof di nuova generazione", in cui le caratteristiche più evidenti della tecnologia blockchain vengono utilizzate dai truffatori per scopi dannosi.