Nordkoreanische Hacker setzen eine neuartige Technik namens ‚EtherHiding‘ ein, um Malware zu verbreiten. Dabei wird Schadcode in Smart Contracts auf der Ethereum- und BNB-Blockchain versteckt. Laut Google Threat Intelligence Group (GTIG) wird diese Methode seit Februar 2025 von der nordkoreanischen Hackergruppe UNC5342 genutzt.
EtherHiding nutzt die dezentrale und unveränderliche Natur der Blockchain, um Malware widerstandsfähiger zu machen. Angreifer können den Schadcode jederzeit aktualisieren, indem sie den Smart Contract modifizieren. Die pseudonyme Natur von Blockchain-Transaktionen erschwert die Identifizierung.
UNC5342 verwendet EtherHiding im Rahmen einer Social-Engineering-Kampagne namens ‚Contagious Interview‘. Dabei geben sich die Angreifer als Personalvermittler aus und bieten Softwareentwicklern attraktive Stellenangebote an.
Nachdem Vertrauen aufgebaut wurde, werden die Opfer gebeten, angebliche technische Tests oder Code-Assessments herunterzuladen, die Malware enthalten. Diese Dateien enthalten oft den JADESNOW-Loader.
Der JADESNOW-Loader stellt eine Verbindung zu einem Smart Contract auf der Blockchain her. Dieser enthält eine verschlüsselte Payload, die nach der Entschlüsselung die INVISIBLEFERRET-Hintertür installiert.
INVISIBLEFERRET ermöglicht langfristigen Zugriff auf das System und das Stehlen von Daten oder Kryptowährungen. Es gibt auch Hinweise auf JavaScript-basierte Stealer wie BeaverTail.
Diese Stealer exfiltrieren sensible Informationen wie Krypto-Wallets, Browser-Erweiterungsdaten und Anmeldedaten.
EtherHiding stellt eine neue Herausforderung für die Cybersicherheit dar, da es die Widerstandsfähigkeit und Anonymität der Blockchain-Technologie ausnutzt.
Google empfiehlt verbesserte Sicherheitsvorkehrungen wie die Überprüfung von Stellenangeboten und Code-Quellen, Multi-Faktor-Authentifizierung und das Vermeiden unaufgeforderter Blockchain-Abfragen.
