هکرهای کره شمالی از تکنیک EtherHiding برای سرقت رمزارز استفاده میکنند
گوگل اخیراً از تکنیک جدید یک گروه هکری دولتی کره شمالی برای پنهانسازی و توزیع بدافزار روی بلاکچینهای عمومی اتریوم و بایننس پرده برداشت.
EtherHiding: روش نوین حمله
در گزارش جدید Google Threat Intelligence آمده است که گروه هکری منتسب به کره شمالی، تکنیکی به نام EtherHiding را برای میزبانی و پخش بدافزار روی قراردادهای هوشمند بهکار میگیرد. این روش برای اولین بار توسط یک منبع دولتی گزارش شده و قراردادهای هوشمند بهعنوان کانال پنهانسازی و توزیع بدافزار استفاده میشوند.
گروه UNC5342 و عملیات JADESNOW
گوگل فعالیتهای هکری را به گروه UNC5342 مرتبط میداند؛ این گروه پیشتر با عملیات Contagious Interview توسعهدهندگان و فعالان رمزارز را هدف قرار داده بود.
از اوایل سال ۲۰۲۵، UNC5342 از EtherHiding استفاده کرده و ابزار جدیدی به نام JADESNOW را برای دانلود و اجرای بدافزار توسعه داده است.
بدافزار INVISIBLEFERRET از دادههای ذخیرهشده در قراردادهای هوشمند روی شبکههای BNB Smart Chain و اتریوم بازیابی و اجرا میشود. حمله مبتنی بر درخواستهای فقط خواندنی بلاکچین است، بنابراین تراکنش جدیدی ثبت نمیشود و ردپای قابلتحلیل باقی نمیماند.
چالش حذف بدافزار
از آنجا که قراردادهای هوشمند تغییرناپذیر هستند، حذف یا غیرفعالکردن محتوای مخرب در سطح شبکه امکانپذیر نیست. توزیع اولیه بدافزار معمولاً از طریق سایتهای وردپرسی آلوده و فریبهای مصاحبه شغلی جعلی انجام میشود.
راهکارهای پیشنهادی گوگل
گوگل برای کاهش خطر پیشنهاد میکند:
-
مسدودسازی یا محدودکردن دسترسی به سرویسهای JSON-RPC عمومی
-
استفاده از نودهای خودمیزبان با سیاستهای سختگیرانه
-
اعمال محدودیت اجرایی روی افزونهها و اسکریپتها در مرورگرها
این اقدامات به کاهش اجرای هشدارهای جعلی و دانلودهای مخرب کمک میکنند، هرچند راهحل دائمی برای حذف بدافزار از بلاکچین وجود ندارد.
