Se ha observado que un actor de amenazas con vínculos con la República Popular Democrática de Corea (todavía conocida como Corea del Meta) aprovecha la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que marca la primera vez que un género de hackers patrocinado por un estado adopta el método.
La actividad ha sido atribuida por Google Threat Intelligence Group (GTIG) a un género de amenazas que rastrea como UNC5342que todavía se conoce como CL-STA-0240 (Mecanismo 42 de Palo Parada Networks), DeceivedDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) y Void Dokkaebi (Trend Micro).
La ola de ataques es parte de una campaña de larga duración cuyo nombre en código es Contagious Interview, en la que los atacantes se acercan a objetivos potenciales en LinkedIn haciéndose sobrevenir por reclutadores o gerentes de contratación, y los engañan para que ejecuten código desconfiado con el pretexto de una evaluación profesional a posteriori de cambiar la conversación a Telegram o Discord.
El objetivo final de estos esfuerzos es obtener golpe no competente a las máquinas de los desarrolladores, robar datos confidenciales y desviar activos de criptomonedas, en consonancia con la doble búsqueda de Corea del Meta de ciberespionaje y ganancias financieras.
Google dijo que ha observado que UNC5342 incorpora EtherHiding, un enfoque sigiloso que implica meter código nefasto interiormente de un convenio inteligente en una prisión de bloques pública como BNB Smart Chain (BSC) o Ethereum, desde febrero de 2025. Al hacerlo, el ataque convierte la prisión de bloques en un solucionador descentralizado de caída muerta que es resistente a los esfuerzos de matanza.
Adicionalmente de la resiliencia, EtherHiding todavía abusa de la naturaleza seudónima de las transacciones de blockchain para dificultar el seguimiento de quién ha implementado el convenio inteligente. Para complicar aún más las cosas, la técnica todavía es flexible porque permite al atacante que tiene el control del convenio inteligente modernizar la carga maliciosa en cualquier momento (aunque cuesta un promedio de 1,37 dólares en tarifas de gas), abriendo así la puerta a un amplio espectro de amenazas.
“Este expansión indica una subida en el panorama de amenazas, ya que los actores de amenazas de los estados-nación ahora están utilizando nuevas técnicas para distribuir malware que es resistente a los ataques de las fuerzas del orden y puede modificarse fácilmente para nuevas campañas”, dijo Robert Wallace, líder de consultoría en Mandiant, Google Cloud, en un comunicado compartido con The Hacker News.
La prisión de infección desencadenada tras el ataque de ingeniería social es un proceso de varias etapas capaz de atacar sistemas Windows, macOS y Linux con tres familias de malware diferentes:
- Un descargador original que se manifiesta en forma de paquetes npm.
- BeaverTail, un saqueador de JavaScript responsable de extraer información confidencial, como carteras de criptomonedas, datos de extensiones del navegador y credenciales.
- JADESNOW, un descargador de JavaScript que interactúa con Ethereum para recuperar InvisibleFerret
- InvisibleFerret, una reforma de JavaScript de la puerta trasera de Python implementada contra objetivos de parada valía para permitir el control remoto del host comprometido, así como el robo de datos a espléndido plazo apuntando a billeteras MetaMask y Phantom y credenciales de administradores de contraseñas como 1Password.
En pocas palabras, el ataque induce a la víctima a ejecutar un código que ejecuta el descargador de JavaScript original que interactúa con un convenio inteligente BSC desconfiado para descargar JADESNOW, que seguidamente consulta el historial de transacciones asociado con una dirección de Ethereum para recuperar la carga útil de la tercera etapa, en este caso la lectura JavaScript de InvisibleFerret.
El malware todavía intenta instalar un intérprete de Python portátil para ejecutar un componente adicional de saqueador de credenciales almacenado en una dirección Ethereum diferente. Los hallazgos son significativos oportuno al uso por parte del actor de amenazas de múltiples cadenas de bloques para la actividad de EtherHiding.
“EtherHiding representa un cambio con destino a el alojamiento a prueba de balas de próxima engendramiento, donde las características inherentes de la tecnología blockchain se reutilizan para fines maliciosos”, dijo Google. “Esta técnica subraya la progreso continua de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan las nuevas tecnologías para su beneficio”.
