Η βόρεια Κορέα έχει αρχίσει να χρησιμοποιεί την τεχνολογία blockchain για να κρύβει κακόβουλα λογισμικά σε έξυπνα συμβόλαια, σύμφωνα με την ομάδα απειλών Famous Chollima. Αυτή είναι η πρώτη καταγεγραμμένη περίπτωση που ένα κράτος υιοθετεί τεχνικές "EtherHiding". Οι επιθέσεις επιβεβαιώθηκαν ανεξάρτητα από τις Cisco Talos και Google Threat Intelligence Group, και στοχεύουν σε αναζητητές εργασίας μέσω ψεύτικων διαδικασιών συνέντευξης, διανέμοντας κακόβουλο λογισμικό που κλέβει κρυπτονομίσματα και διαπιστευτήρια.

Η ομάδα χρησιμοποίησε ένα νέο JavaScript module που συνδυάζει τα κακόβουλα λογισμικά BeaverTail και OtterCookie, τα οποία διαθέτουν δυνατότητες καταγραφής πληκτρολογίου και λήψης στιγμιότυπων οθόνης. Το κακόβουλο λογισμικό διανεμήθηκε μέσω ενός πακέτου Node.js με το όνομα “node-nvm-ssh”, το οποίο προσποιούνταν ότι ήταν μια εφαρμογή σκακιού με το όνομα “Chessfi”.

Η Google έχει καταγράψει την ομάδα UNC5342 της Βόρειας Κορέας, η οποία ενσωματώνει κακόβουλο λογισμικό JADESNOW και backdoors INVISIBLEFERRET σε έξυπνα συμβόλαια στο $BNB Smart Chain και το Ethereum από τον Φεβρουάριο του 2025. Αυτή η τεχνική αποθηκεύει κακόβουλα payloads σε δημόσιες blockchain, δημιουργώντας μια αποκεντρωμένη υποδομή διοίκησης που δεν μπορεί να καταστραφεί από τις αρχές.

Αυτή η ανακάλυψη έρχεται καθώς οι Βορειοκορεάτες χάκερ έχουν κλέψει πάνω από 1,3 δισεκατομμύρια δολάρια σε 47 περιστατικά το 2024 και 2,2 δισεκατομμύρια δολάρια στο πρώτο εξάμηνο του 2025, χρηματοδοτώντας το πρόγραμμα όπλων του καθεστώτος μέσω περίπλοκων δικτύων ξεπλύματος χρημάτων.

Η τεχνική EtherHiding ενσωματώνει κακόβουλα JavaScript payloads σε έξυπνα συμβόλαια, μετατρέποντας τα αποκεντρωμένα καθολικά σε ανθεκτικούς διακομιστές διοίκησης. Οι επιτιθέμενοι ανακτούν τα payloads χρησιμοποιώντας κλήσεις λειτουργιών μόνο για ανάγνωση, αποφεύγοντας τα τέλη συναλλαγών και αφήνοντας καμία ορατή ιστορία blockchain.

Η Google έχει τεκμηριώσει τη χρήση της τεχνικής EtherHiding στην καμπάνια “Contagious Interview”, όπου ψεύτικοι εργοδότες προσποιούνται ότι είναι εταιρείες όπως η Coinbase και η Robinhood. Τα θύματα κατεβάζουν κακόβουλα αρχεία από αποθετήρια GitHub κατά τη διάρκεια τεχνικών αξιολογήσεων, ενεργοποιώντας πολυδιάστατες λοιμώξεις.

Η ομάδα Famous Chollima έχει δημιουργήσει ψεύτικες εταιρείες χρησιμοποιώντας πλαστές ταυτότητες για να δημιουργήσει αξιόπιστα εταιρικά μέτωπα. Ερευνητές ανακάλυψαν ότι οι Βορειοκορεάτες IT εργαζόμενοι έχουν διεισδύσει σε εταιρείες κρυπτονομισμάτων, λειτουργώντας με περισσότερες από 30 ψεύτικες ταυτότητες.

Ο ιδρυτής της Binance, Changpeng Zhao, προειδοποίησε για τέσσερις κύριες επιθέσεις, οι οποίες περιλαμβάνουν ψεύτικες αιτήσεις εργασίας, δόλιες συνεντεύξεις με κακόβουλους συνδέσμους, απάτες υποστήριξης πελατών και δωροδοκίες υπαλλήλων ή εξωτερικών προμηθευτών. Οι Βορειοκορεάτες χάκερ είναι προχωρημένοι, δημιουργικοί και υπομονετικοί.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: