Hackers norte-coreanos agora escondem malware para roubo de criptomoedas em blockchain

Hackers norte-coreanos estão utilizando um método baseado em blockchain conhecido como EtherHiding para distribuir malware e facilitar seus roubos de criptomoedas. Segundo especialistas, um hacker norte-coreano foi descoberto utilizando esse método, no qual os atacantes incorporam códigos como payloads em JavaScript dentro de umtracinteligente baseado em blockchain.

Utilizando esse método, os hackers transformam o livro-razão descentralizado em um sistema de comando e controle (C2) resiliente. De acordo com uma publicação no blog do Google Threat Intelligence Group (GTIG), esta é a primeira vez que observam um agente dessa magnitude utilizando esse método. O grupo afirma que o uso do EtherHiding é conveniente diante das estratégias convencionais de remoção e bloqueio. O GTIG mencionou que traco agente de ameaças UNC5342 desde fevereiro de 2025, integrando o EtherHiding a uma campanha contínua de engenharia social.

Hackers norte-coreanos recorrem ao EtherHiding

O Google mencionou que vinculou o uso do EtherHiding a uma campanha de engenharia social tracpela Palo Alto Networks como Contagious Interview. A Contagious Interview foi realizada por agentes norte-coreanos. De acordo com pesquisadores da Socket, o grupo expandiu suas operações com um novo carregador de malware, o XORIndex. O carregador acumulou milhares de downloads, tendo como alvo candidatos a emprego e indivíduos que se acredita possuírem ativos digitais ou credenciaisdent.

Nesta campanha, os hackers usam o malware JADESNOW para distribuir uma variante em JavaScript do INVISIBLEFERRET, que já foi usado em diversos roubos de criptomoedas. A campanha tem como alvo desenvolvedores das indústrias de criptomoedas e tecnologia, roubando dados sensíveis, ativos digitais e obtendo acesso a redes corporativas. Ela também se concentra em uma tática de engenharia social que copia processos de recrutamento legítimos usando recrutadores falsos e empresas fictícias.

Recrutadores falsos são usados ​​para atrair candidatos para plataformas como Telegram ou Discord. Em seguida, o malware é instalado em seus sistemas e dispositivos por meio de falsos testes de programação ou downloads de software disfarçados de avaliações técnicas ou correções para entrevistas. A campanha utiliza um processo de infecção por malware em várias etapas, que geralmente envolve malwares como JADESNOW, INVISIBLEFERRET e BEAVERTAIL, para comprometer os dispositivos das vítimas. O malware afeta sistemas Windows, Linux e macOS.

Pesquisadores detalham as desvantagens do EtherHiding

O EtherHiding oferece uma vantagem significativa aos atacantes, sendo que a GTIG observa que ele representa uma ameaça particularmente difícil de mitigar. Um elemento central do EtherHiding que preocupa é sua natureza descentralizada. Isso significa que ele é armazenado em um blockchain descentralizado e sem permissão, dificultando sua remoção por autoridades policiais ou empresas de cibersegurança, já que não possui um servidor central. A identidadedenttractrac tractractractrac tractracdevido à natureza pseudônima das no blockchain .

Também é difícil remover código malicioso emtracinteligentes implantados na blockchain se você não for o proprietário dotractractracnão impede que os hackers realizem suas atividades maliciosas usando otracinteligente.

Além disso, os atacantes podem recuperar sua carga maliciosa usando chamadas somente leitura que não deixam um histórico de transações visível no blockchain, dificultando o tracde suas atividades pelos pesquisadores. De acordo com o relatório de pesquisa de ameaças, o EtherHiding representa uma “mudança em direção à hospedagem à prova de balas de próxima geração”, onde os recursos mais evidentes da tecnologia blockchain estão sendo usados ​​por golpistas para fins maliciosos.