Se ha observado que un actor de amenazas con vínculos con la República Popular Democrática de Corea (también conocida como Corea del Norte) aprovecha la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que marca la primera vez que un grupo de hackers patrocinado por un estado adopta el método.
El actividad ha sido atribuido por Google Threat Intelligence Group (GTIG) a un grupo de amenazas que rastrea como UNC5342que también se conoce como CL-STA-0240 (Unidad 42 de Palo Alto Networks), DeceivedDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) y Void Dokkaebi (Trend Micro).
La ola de ataques es parte de una campaña de larga duración cuyo nombre en código Entrevista contagiosadonde los atacantes acercarse objetivos potenciales en LinkedIn haciéndose pasar por reclutadores o gerentes de contratación, y engañarlos para que ejecuten código malicioso con el pretexto de una evaluación laboral después de cambiar la conversación a Telegram o Discord.
El objetivo final de estos esfuerzos es obtener acceso no autorizado a las máquinas de los desarrolladores, robar datos confidenciales y desviar activos de criptomonedas, en consonancia con la doble búsqueda de Corea del Norte de ciberespionaje y ganancias financieras.
Google dijo que ha observado la incorporación de UNC5342 ÉterOcultar – un enfoque sigiloso que implica incrustar código nefasto dentro de un contrato inteligente en una cadena de bloques pública como BNB Smart Chain (BSC) o Ethereum – desde febrero de 2025. Al hacerlo, el ataque convierte la cadena de bloques en una cadena descentralizada solucionador de caída muerta eso es resistente a los esfuerzos de derribo.
Además de la resiliencia, EtherHiding también abusa de la naturaleza seudónima de las transacciones de blockchain para dificultar el seguimiento de quién ha implementado el contrato inteligente. Para complicar aún más las cosas, la técnica también es flexible porque permite al atacante que tiene el control del contrato inteligente actualizar la carga maliciosa en cualquier momento (aunque cuesta un promedio de 1,37 dólares en tarifas de gas), abriendo así la puerta a un amplio espectro de amenazas.
«Este desarrollo indica una escalada en el panorama de amenazas, ya que los actores de amenazas de los estados-nación ahora están utilizando nuevas técnicas para distribuir malware que es resistente a los ataques de las fuerzas del orden y puede modificarse fácilmente para nuevas campañas», dijo Robert Wallace, líder de consultoría en Mandiant, Google Cloud, en un comunicado compartido con The Hacker News.
La cadena de infección desencadenada tras el ataque de ingeniería social es un proceso de varias etapas capaz de atacar sistemas Windows, macOS y Linux con tres familias de malware diferentes:
- Un descargador inicial que se manifiesta en forma de paquetes npm
- BeaverTail, un ladrón de JavaScript responsable de extraer información confidencial, como carteras de criptomonedas, datos de extensiones del navegador y credenciales.
- JADESNOW, un descargador de JavaScript que interactúa con Ethereum para recuperar InvisibleFerret
- InvisibleFerret, una variante de JavaScript de la puerta trasera de Python implementada contra objetivos de alto valor para permitir el control remoto del host comprometido, así como el robo de datos a largo plazo apuntando a billeteras MetaMask y Phantom y credenciales de administradores de contraseñas como 1Password.
En pocas palabras, el ataque induce a la víctima a ejecutar un código que ejecuta el descargador de JavaScript inicial que interactúa con un contrato inteligente BSC malicioso para descargar JADESNOW, que posteriormente consulta el historial de transacciones asociado con una dirección de Ethereum para recuperar la carga útil de la tercera etapa, en este caso la versión JavaScript de InvisibleFerret.
El malware también intenta instalar un intérprete de Python portátil para ejecutar un componente adicional de ladrón de credenciales almacenado en una dirección Ethereum diferente. Los hallazgos son significativos debido al uso por parte del actor de amenazas de múltiples cadenas de bloques para la actividad de EtherHiding.
Wallace dijo a The Hacker News que no han observado que los actores de la RPDC distribuyan instaladores falsos (como los de software de videoconferencia como Conferencia gratuita como ha sucedido en el pasado) junto con la utilización de contratos inteligentes como escenario para código malicioso.
«EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan para fines maliciosos», dijo Google. «Esta técnica subraya la evolución continua de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan las nuevas tecnologías para su beneficio».
Fuente