谷歌威胁情报小组 警告 朝鲜正在使用 EtherHiding——一种隐藏在区块链中的恶意软件 智能合约 并在其网络黑客行动中实现加密货币盗窃,因为 2025 年似乎将成为这个流氓国家加密货币盗窃案创纪录的一年。
尽管谷歌研究人员表示,EtherHiding 已被出于经济动机的威胁行为者滥用 区块链 自2023年9月以来,该恶意软件就已开始传播信息窃取程序,这是他们首次观察到一个民族国家使用该程序。该恶意软件对传统的删除和拦截方法具有极强的抵抗力。
研究人员表示:“EtherHiding 带来了新的挑战,因为传统的攻击活动通常可以通过阻止已知域名和 IP 来阻止。” 说 在一篇博客文章中,特别提到了智能合约 BNB智能链 和 以太坊 成为恶意代码的宿主。他们补充道,恶意软件作者可以“利用区块链进一步传播恶意软件,因为智能合约是自主运行的,无法被关闭”。
虽然安全研究人员可以通过在官方区块链扫描仪上将合同标记为恶意来向社区发出警报,但他们指出,“恶意活动仍然可以进行”。
朝鲜黑客威胁
据 10 月份的一项调查显示,今年迄今为止,朝鲜黑客已经窃取了超过 20 亿美元,其中大部分来自 2 月份对加密货币交易所 Bybit 发动的 14.6 亿美元攻击。 报告 由区块链分析公司 Elliptic 提供。
朝鲜还被指控对 LND.fi 的攻击负责, 吴 和 种子化 以及其他30起黑客攻击事件,使该国迄今为止被窃取的资金总额超过60亿美元。据情报机构称,这些资金用于资助该国的核武器和导弹计划。
朝鲜通过社会工程学、部署恶意软件和复杂的网络间谍活动等手段获取信息,并制定了一系列策略来获取公司金融系统或敏感数据。事实证明,该政权不惜不择手段,包括设立虚假公司,以及向开发人员提供虚假的就业机会。
案例 报告 到 解密 调查还显示,随着雇主越来越警惕朝鲜人冒充外籍人士进行面试,朝鲜黑客组织目前正在招募非韩国籍人士作为幌子,帮助他们通过面试,从而获得科技和加密货币公司的职位。攻击者还可以诱骗受害者参加视频会议或虚假的播客录音,这些平台随后会显示错误信息或提示下载包含恶意代码的更新。
朝鲜黑客还针对传统的网络基础设施, 上传 超过300 恶意代码包到 npm 注册表 ,一个数百万开发人员用来共享和安装 JavaScript 软件的开源软件存储库。
EtherHiding 如何工作?
朝鲜最近一次将 EtherHiding 纳入其武器库的举动可以追溯到 2025 年 2 月,从那时起,谷歌表示已经追踪到 UNC5342(一个与该国黑客组织 FamousChollima 有关联的朝鲜威胁行为者)将 EtherHiding 纳入其社会工程活动 Contagious Interview 中。
EtherHiding 恶意软件的使用涉及将恶意代码嵌入到公共区块链的智能合约中,然后通过注入一小段 JavaScript 代码的 WordPress 网站来攻击用户。
谷歌研究人员解释说:“当用户访问受感染的网站时,加载器脚本会在其浏览器中执行。然后,该脚本会与区块链通信,以检索存储在远程服务器中的主要恶意负载。”
他们补充说,该恶意软件部署了一个只读函数调用(例如 eth_call),该函数调用不会在区块链上创建交易。“这确保了恶意软件的检索是隐秘的,并避免了交易费用(即 gas 费用)。”他们指出,“一旦被获取,恶意负载就会在受害者的计算机上执行。这可能导致各种恶意活动,例如显示虚假的登录页面、安装窃取信息的恶意软件或部署勒索软件。”
研究人员警告称,这“凸显了网络犯罪分子手段的不断演变”。“本质上,EtherHiding 代表着向下一代防弹托管的转变,区块链技术的固有特性被重新用于恶意目的。”
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.paipaipay.cn/304634.html
