朝鲜黑客利用区块链技术进行“EtherHiding”攻击

本站报道：

随着朝鲜政府支持的黑客尝试将恶意代码直接嵌入区块链网络，一种新的网络威胁正在朝鲜出现。

谷歌威胁情报小组（GTIG）10 月 17 日报告称，这项名为 EtherHiding 的技术标志着黑客在分散系统中隐藏、分发和控制恶意软件的方式有了新的发展。

EtherHiding 是什么？

GTIG解释EtherHiding 允许攻击者利用智能合约进行攻击，以太坊等公共区块链和 BNB智能链通过使用它们来存储恶意负载。

一旦将一段代码上传到这些分散的账本，由于其不可变的性质，删除或阻止它几乎变得不可能。

GTIG 写道：“尽管智能合约提供了构建去中心化应用程序的创新方法，但其不可更改的性质在 EtherHiding 中被利用，以一种无法轻易阻止的方式托管和提供恶意代码。”

实际上，黑客通常会利用未修补的漏洞或被盗的凭证来入侵合法的 WordPress 网站。

获得访问权限后，他们会在网站代码中插入几行 JavaScript（称为“加载程序”）。当访问者打开受感染的页面时，加载程序会悄悄连接到区块链，并从远程服务器检索恶意软件。

GTIG 指出，此类攻击通常不会留下任何可见的交易痕迹，而且由于发生在链下，几乎不需要任何费用。这实际上使得攻击者能够不被发现地进行操作。

值得注意的是，GTIG 将 EtherHiding 的第一个实例追溯到 2023 年 9 月，当时它出现在名为 CLEARFAKE 的活动中，该活动使用虚假的浏览器更新提示欺骗用户。

如何预防攻击

网络安全研究人员表示，这种策略标志着朝鲜的数字战略从仅仅窃取加密货币到使用区块链本身作为隐形武器。

GTIG 表示：“EtherHiding 代表着向下一代防弹托管的转变，区块链技术的固有特性被重新用于恶意目的。随着攻击者不断适应并利用新技术为自己谋利，这种技术凸显了网络威胁的不断演变。”

公民实验室高级研究员约翰·斯科特-雷顿 (John Scott-Railton) 将 EtherHiding 描述为一项“早期实验”。他警告称，将其与人工智能驱动的自动化可能会使未来的攻击更难被发现。

“我预计攻击者还会尝试将零点击漏洞直接加载到针对处理区块链的系统和应用程序的区块链上……特别是当它们有时托管在处理交易/拥有钱包的相同系统和网络上时，”他额外.

考虑到朝鲜攻击者的猖獗，这种新的攻击媒介可能会对加密行业产生严重影响。

数据 TRM Labs 的研究表明与朝鲜有关的团体已经窃取了超过 15 亿美元的加密资产仅今年一年就出现了这种情况。调查人员认为，这些资金用于资助平壤的军事计划和逃避国际制裁的努力。

鉴于此，GTIG 建议加密货币用户通过阻止可疑下载和限制未经授权的网络脚本来降低风险。该组织还敦促安全研究人员识别并标记嵌入在区块链网络中的恶意代码。