谷歌揭露朝鲜的链上黑客实验

朝鲜的一项新网络策略模糊了区块链创新与武器化之间的界限。

根据据谷歌威胁情报小组 (GTIG) 称，国家支持的黑客正在测试一种名为 EtherHiding 的技术，该技术可以将恶意软件隐藏在以太坊和 BNB Chain 等去中心化网络中。

攻击者不再将恶意文件托管在服务器上，而是使用智能合约来存储其有效载荷。代码一旦嵌入，便会永久生效，并受到区块链可靠性的不可篡改性的保护。这为黑客提供了一个几乎隐形的恶意软件传播系统。

攻击通常始于 WordPress 网站。黑客利用网站安全漏洞或窃取的凭证，注入几行 JavaScript 代码，每当有人访问该页面时，这些代码就会悄无声息地连接到区块链。恶意代码从那里下载，几乎不留任何痕迹，也无需支付任何交易费用。

GTIG 将首个 EtherHiding 活动与 2023 年 9 月联系起来，当时它出现在一个名为 CLEARFAKE 的活动中，该活动使用虚假的浏览器更新提示欺骗用户。分析人士认为，这标志着平壤策略的转变——从窃取加密货币到将区块链本身武器化。

专家警告称，将 EtherHiding 与人工智能自动化相结合，可能会引发几乎无法检测的自我传播攻击。公民实验室研究员 John Scott-Railton 称该方法尚处于“早期阶段”，但他警告称，未来的变体可能会针对直接参与钱包管理或交易处理的区块链系统。

据 TRM Labs 称，朝鲜黑客今年已经窃取了价值超过 15 亿美元的加密货币，这些资金通常与该国的军事项目和逃避制裁有关。

GTIG 建议加强对网络脚本的控制，并对去中心化系统中的隐藏代码保持警惕。随着区块链既成为工具，也成为攻击目标，网络战场正在悄然转向链上。