朝鲜黑客利用区块链技术发起“EtherHiding”新型网络攻击

随着朝鲜政府支持的黑客尝试将恶意代码直接嵌入区块链网络，一种新的网络威胁正在出现。

谷歌威胁情报小组（GTIG）在10月17日的报告中指出，这种名为“EtherHiding”的技术标志着黑客在分散系统中隐藏、分发和控制恶意软件的方式有了新的发展。

EtherHiding 是什么？

据GTIG解释，EtherHiding允许攻击者利用智能合约进行攻击。以太坊等公共区块链和BNB智能链被用于存储恶意负载。

一旦一段代码上传到这些去中心化的账本上，由于其不可变性，删除或阻止它几乎不可能。

GTIG写道：“尽管智能合约为构建去中心化应用程序提供了创新方法，但其不可更改的特性在EtherHiding中被利用，以一种难以阻止的方式托管和提供恶意代码。”

实际上，黑客通常会利用未修补的漏洞或被盗凭证入侵合法的WordPress网站。

获得访问权限后，他们会在网站代码中插入几行JavaScript（称为“加载程序”）。当访问者打开受感染页面时，加载程序会悄悄连接到区块链，并从远程服务器检索恶意软件。

GTIG指出，此类攻击通常不会留下任何可见的交易痕迹，且由于发生在链下，几乎不需要任何费用。这使得攻击者能够隐秘地进行操作。

值得注意的是，GTIG将EtherHiding的第一个实例追溯到2023年9月，当时它出现在名为CLEARFAKE的活动中，该活动通过虚假的浏览器更新提示欺骗用户。

如何预防攻击

网络安全研究人员表示，这种策略标志着朝鲜的数字战略从仅仅窃取加密货币到使用区块链本身作为隐形武器的转变。

GTIG表示：“EtherHiding代表着向下一代防弹托管的转变，区块链技术的固有特性被重新用于恶意目的。随着攻击者不断适应并利用新技术为自己谋利，这种技术凸显了网络威胁的不断演变。”

公民实验室高级研究员约翰·斯科特-雷顿（John Scott-Railton）将EtherHiding描述为一项“早期实验”。他警告称，将其与人工智能驱动的自动化结合可能会使未来的攻击更难被发现。

“我预计攻击者还会尝试将零点击漏洞直接加载到针对处理区块链的系统和应用程序的区块链上……特别是当它们有时托管在处理交易/拥有钱包的相同系统和网络上时，”他表示。

考虑到朝鲜攻击者的猖獗，这种新的攻击媒介可能会对加密行业产生严重影响。

TRM Labs的研究数据显示，与朝鲜有关的团体仅今年就窃取了超过15亿美元的加密资产。调查人员认为，这些资金被用于资助平壤的军事计划和逃避国际制裁的努力。

鉴于此，GTIG建议加密货币用户通过阻止可疑下载和限制未经授权的网络脚本来降低风险。该组织还敦促安全研究人员识别并标记嵌入在区块链网络中的恶意代码。