A modern kibertámadások egyre kifinomultabb eszközöket használnak, hogy elkerüljék a hagyományos védekezési mechanizmusokat. Az egyik ilyen új és különösen ravasz módszer az EtherHiding, amely az Ethereum és más blokkláncok okosszerződéseit használja fel rosszindulatú kódok terjesztésére. Ez a technika nemcsak költséghatékony, de jelentős előnyt biztosít a támadóknak a pénzügyi és munkaerő ráfordítások tekintetében.
Mi az EtherHiding és hogyan működik?
Az EtherHiding egy olyan támadási lánc, amely során a rosszindulatú programokat több lépcsőben telepítik, majd az utolsó szakaszban az okosszerződések segítségével hajtják végre a végső károkozó kódot. Az okosszerződések – amelyek jellemzően az Ethereum vagy a BNB Smart Chain blokkláncokon futnak – lehetővé teszik, hogy bárki feltölthessen kódot, így a támadók kihasználják ezt a nyitottságot.
A tranzakciók költsége általában kevesebb, mint 2 dollár, ami jelentős megtakarítást jelent a hagyományos malware terjesztési módszerekhez képest, amelyek sokkal nagyobb anyagi és munkaerő ráfordítást igényelnek.
A társadalmi mérnökség szerepe az EtherHiding kampányokban
A Google kutatói egy olyan kampányt is megfigyeltek, amelyben a támadók hamis állásajánlatokkal csábították be áldozataikat. Ezek az áldozatok jellemzően kriptovaluta alkalmazásokat vagy más online szolgáltatásokat fejlesztő szakemberek voltak.
A kiválasztási folyamat során a jelölteknek kódolási vagy kódellenőrzési teszteket kellett teljesíteniük. Ezekhez a tesztekhez szükséges fájlok azonban rosszindulatú kódot tartalmaztak, amely így bejutott az áldozatok rendszereibe.
Az UNC5342 csoport és az EtherHiding
Az egyik legjelentősebb megfigyelt csoport az Észak-Koreához köthető UNC5342, amely korábbi malware-eket – például a JadeSnow-t – használ arra, hogy későbbi szakaszokban további rosszindulatú programokat töltsön le mind az Ethereum, mind pedig a BNB Smart Chain blokkláncokról.
A Google kutatói kiemelték:
„Ritka, hogy egy fenyegető szereplő több blokkláncot is használjon az EtherHiding tevékenységhez; ez arra utalhat, hogy Észak-koreai kiberműveletek különböző csapatai között működési elkülönítés zajlik.”
Ezen túlmenően az EtherHiding rugalmassága lehetővé teszi a fertőzési lánc frissítését és a károkozó helyének változtatását. Egyetlen tranzakció során például a JADESNOW letöltő képes váltani az Ethereumról a BNB Smart Chain-re történő payload letöltésre. Ez nemcsak megnehezíti az elemzést, hanem kihasználja az alternatív hálózatok alacsonyabb tranzakciós díjait is.
További csoportok és pénzügyi motivációk
A kutatók azt is megfigyelték, hogy egy másik csoport, az UNC5142 is alkalmazza az EtherHiding technikát. Ez a csoport elsősorban pénzügyi haszonszerzés céljából tevékenykedik.
Észak-Korea kibertámadó képességeinek fejlődése
Korábban Észak-Korea kibertámadásait alacsony színvonalúnak tartották, azonban az elmúlt tíz évben számos magas szintű kampányt hajtott végre, amelyek egyértelműen mutatják növekvő szakértelmét, fókuszát és erőforrásait.
Két héttel ezelőtt a blockchain elemző cég, az Elliptic bejelentette, hogy Észak-Korea 2025-ben már több mint 2 milliárd dollár értékű kriptovalutát lopott el különböző támadások során.
Összegzés
Az EtherHiding technika új dimenziókat nyitott meg a blokklánc alapú kibertámadások terén. A támadók kihasználják az okosszerződések nyitottságát és alacsony költségeit arra, hogy több lépcsős malware láncot telepítsenek és frissítsenek. A társadalmi mérnökség eszközeivel kombinálva pedig hatékonyan célozzák meg főként kriptovaluta fejlesztőket és online szolgáltatásokat működtető szakembereket.
Észak-Korea kibertámadó képességeinek fejlődése pedig komoly fenyegetést jelent mind a digitális pénzügyi szektor, mind pedig általában az internetes biztonság számára. A blokklánc technológia ugyan számos előnyt kínál, de új kihívásokat is támaszt a védekezés terén.
Forrás: https://arstechnica.com/security/2025/10/hackers-bullet-proof-hosts-deliver-malware-from-blockchains