Хакери, пов’язані з урядом Північної Кореї, використовують публічні блокчейни, такі як Ethereum і BNB Smart Chain, для розповсюдження шкідливого ПЗ. Принаймні одне угруповання, яке діє від імені північнокорейської влади, почало вбудовувати небезпечний код у смарт-контракти.

За даними аналітичного підрозділу Google Threat Intelligence Group, нова схема під назвою EtherHiding перетворює саму структуру блокчейну — колись символ безпеки та прозорості — на інструмент кібератак, який неможливо повністю заблокувати чи знищити. Оскільки смарт-контракти — це програми, які автоматично виконуються в децентралізованих мережах, зловмисне ПЗ фактично закріплюється у блокчейні назавжди: змінити чи видалити його неможливо навіть адміністраторам платформи.

Механізм роботи EtherHiding не потребує звичних підпільних серверів, оскільки блокчейн сам виконує роль хостингу. Створення або зміна контракту обходиться зловмисникам менш ніж у 2 долари, а повна анонімність транзакцій дозволяє приховати їхню особу. Отримання шкідливого коду відбувається без видимих слідів у журналах операцій, що робить виявлення атак майже неможливим.

Технологія використовується у поєднанні з соціальною інженерією. Хакери намагаються влаштуватися на роботу до великих блокчейн-компаній. Вони надсилають розробникам фальшиві вакансії з “тестовими завданнями”, у яких приховано початковий етап зараження. Після встановлення базового компонента система завантажує решту шкідливих модулів безпосередньо з блокчейну, оминаючи будь-які централізовані сервери. Це дозволяє злочинцям у будь-який момент оновлювати або замінювати код, залишаючись непоміченими системами безпеки.

Одне з таких угруповань, позначене Google як UNC5342, застосовує набір інструментів JadeSnow, що завантажує додаткові шкідливі компоненти з блокчейнів. Під час кількох атак фахівці зафіксували, як зловмисники перемикалися між Ethereum та BNB Smart Chain — імовірно, щоб зменшити витрати, адже транзакції в мережі BNB значно дешевші. Використання одразу кількох блокчейнів також ускладнює роботу аналітиків, які намагаються простежити джерело атак.

Ще одна група — UNC5142, яка, за оцінками Google, керується фінансовими мотивами, — також перейняла метод EtherHiding. Аналітики припускають, що така практика швидко стає популярною серед досвідчених кіберзлочинців, оскільки дозволяє обійти більшість традиційних систем захисту.

Активність північнокорейських хакерів останніми роками різко зросла. За даними аналітичної компанії Elliptic, з початку 2025 року групи, пов’язані з Пхеньяном, викрали цифрових активів на понад $2 млрд. Фахівці з кібербезпеки застерігають: децентралізація, яка свого часу зробила блокчейн практично невразливим до цензури, тепер може обернутися проти користувачів.

Джерело: Techspot