朝鲜黑客现在利用区块链隐藏窃取加密货币的恶意软件

朝鲜黑客目前正利用一种名为 EtherHiding 的基于区块链的技术来传播恶意软件，以实施加密货币盗窃活动。据专家称，一名朝鲜黑客被发现使用了这种方法，攻击者将 JavaScript Payload 等代码嵌入到基于区块链的智能trac中。.

利用这种方法，黑客将去中心化账本转变为一个强大的命令与控制（C2）系统。根据谷歌威胁情报小组（GTIG）发布的一篇博文，这是他们首次发现如此大规模的攻击者使用这种方法。博文指出，面对传统的下架和封禁措施，使用 EtherHiding 非常便捷。该威胁情报小组提到，他们自 2025 年 2 月起就开始 trac威胁组织 UNC5342，该组织将 EtherHiding 集成到其持续进行的社会工程攻击活动中。.

朝鲜黑客转向 EtherHiding

谷歌 表示 ，已将 EtherHiding 的使用与 Palo Alto Networks 追踪到的名为“传染性访谈”（Contagious Interview）的社会工程攻击活动联系起来 trac“传染性访谈”是由朝鲜黑客实施的。据 Socket 研究人员称，该组织利用一种名为 XORIndex 的新型恶意软件加载器扩大了其攻击范围。该加载器已被下载数千次，攻击目标包括求职者和被认为拥有数字资产或敏感凭证的dent。

在此次攻击活动中，朝鲜 黑客 利用JADESNOW恶意软件传播INVISIBLEFERRET的JavaScript变种，该变种已被用于实施多起加密货币盗窃案。此次攻击活动的目标是加密货币和科技行业的开发者，旨在窃取敏感数据、数字资产并入侵企业网络。此外，该活动还运用了一种社会工程学策略，通过虚假招聘人员和虚构公司来模仿合法的招聘流程。

攻击者利用虚假招聘人员引诱求职者访问 Telegram 或 Discord 等平台。之后，恶意软件会通过伪装成技术评估或面试技巧的虚假编程测试或软件下载，植入求职者的系统和设备。该攻击活动采用多阶段恶意软件感染流程，通常涉及 JADESNOW、INVISIBLEFERRET 和 BEAVERTAIL 等恶意软件，最终入侵受害者的设备。该恶意软件可感染 Windows、Linux 和 macOS 系统。.

研究人员详细阐述了 EtherHiding 的缺点

EtherHiding 为攻击者提供了更大的优势，GTIG 指出，它构成了一种特别难以缓解的威胁。EtherHiding 的一个核心问题在于其去中心化特性。这意味着它存储在无需许可的去中心化区块链上，由于没有中央服务器，执法部门或网络安全公司很难将其清除。dent，攻击者的身份也难以 trac由于 区块链 。

如果您并非智能trac的所有者，那么移除部署在区块链上的智能trac中的恶意代码也十分困难。控制智能trac的攻击者（在本例中为朝鲜黑客）也可以随时更新恶意载荷。尽管安全研究人员可以通过标记来警告社区有关恶意trac的信息，但这并不能阻止黑客利用智能trac实施恶意活动。.

此外，攻击者可以使用只读调用来获取恶意载荷，这些调用不会在区块链上留下可见的交易记录，这使得研究人员难以 trac他们在区块链上的活动。根据威胁研究报告，EtherHiding 代表着“向下一代防弹托管的转变”，其中区块链技术最显著的特性正被诈骗分子用于恶意目的。.