هکرهای کره شمالی با راهکاری عجیب رمزارزها را به سرقت می‌برند

در گزارش جدید گروه Google Threat Intelligence آمده است که یک گروه هکری منتسب به کره‌شمالی، تکنیک جدیدی به نام EtherHiding را برای میزبانی و پخش بدافزار روی بلاکچین‌های عمومی به‌کار گرفته است. این گزارش می‌گوید برای اولین‌بار یک منبع دولتی از قراردادهای هوشمند به‌عنوان کانال پنهان‌سازی و توزیع بدافزار استفاده کرده است.

گوگل فعالیت‌های هکری را به گروه UNC5342 مرتبط می‌داند که پیش‌تر با عملیات Contagious Interview توسعه‌دهندگان و فعالان رمزارز را هدف قرار داده بود. این گروه از اوایل ۲۰۲۵ از روش EtherHiding بهره می‌برد و ابزار جدیدی به نام JADESNOW را برای دانلود بدافزار اجرا کرده است.

عملیات JADESNOW بدافزاری به نام INVISIBLEFERRET را از داده‌های ذخیره‌شده در قراردادهای هوشمند روی شبکه‌های BNB Smart Chain و اتریوم بازیابی و اجرا می‌کند. نکته‌ی خطرناک این است که حمله‌ی مبتنی‌بر درخواست‌های فقط خواندنی بلاکچین است و این یعنی تراکنش جدیدی ثبت نمی‌شود و ردپای قابل‌تحلیل باقی نمی‌ماند.

ازآنجا که قراردادهای هوشمند تغییرناپذیرند، حذف یا غیرفعال‌کردن محتوای مخرب در سطح شبکه ممکن نیست. توزیع اولیه‌ی بدافزارها معمولاً از طریق سایت‌های وردپرسی آلوده و فریب‌های مصاحبه‌ی شغلی جعلی انجام شده است.

گوگل راه‌حل‌های موقتی را پیشنهاد می‌کند که شامل مسدودسازی یا محدودکردن دسترسی به سرویس‌های JSON-RPC عمومی، استفاده از نودهای خودمیزبان با سیاست‌های سخت‌گیرانه و اعمال محدودیت‌های اجرایی روی افزونه‌ها و اسکریپت‌ها در مرورگرها است تا جلوی اجرای هشدارها و دانلودهای جعلی گرفته شود.