朝鲜的国家支持黑客正在尝试将恶意代码直接嵌入区块链网络,这一新的网络威胁正在浮现。
谷歌威胁情报小组(GTIG)在 10 月 17 日报告称,这种名为 EtherHiding 的技术标志着黑客在如何隐藏、分发和控制去中心化系统中的恶意软件方面的新进化。
EtherHiding 是什么?GTIG 解释称,EtherHiding 允许攻击者利用智能合约和以太坊、BNB 智能链等公共区块链,将其用作存储恶意负载的工具。
一旦代码上传到这些去中心化账本上,由于其不可变的特性,删除或阻止它几乎变得不可能。
“虽然智能合约为构建去中心化应用提供了创新方式,但在 EtherHiding 中,其不可更改的特性被用来托管和提供恶意代码,使其难以被轻易阻止,”GTIG 写道。
在实际操作中,黑客通过利用未修补的漏洞或盗取的凭证,入侵合法的 WordPress 网站。
在获得访问权限后,他们在网站代码中插入几行 JavaScript,称为“加载器”。当访问者打开被感染的页面时,加载器会悄悄连接到区块链,并从远程服务器检索恶意软件。
GTIG 指出,这种攻击通常不会留下明显的交易痕迹,并且由于发生在链下,几乎不需要费用。这本质上使攻击者能够不被察觉地操作。
值得注意的是,GTIG 追溯到 EtherHiding 的首次出现是在 2023 年 9 月,当时它出现在一个名为 CLEARFAKE 的活动中,该活动通过伪造的浏览器更新提示欺骗用户。
如何防止加密攻击网络安全研究人员表示,这一策略表明朝鲜的数字战略正在从单纯的加密货币盗窃转向利用区块链本身作为隐秘武器。
“EtherHiding 代表着向下一代防弹托管的转变,其中区块链技术的固有特性被重新利用于恶意目的。这一技术强调了网络威胁的持续演变,因为攻击者不断适应并利用新技术为己所用,” GTIG 表示。
Citizen Lab 的高级研究员 John Scott-Railton 将 EtherHiding 描述为“早期阶段的实验”。他警告称,将其与人工智能驱动的自动化结合,可能会使未来的攻击更难被检测到。
“我预计攻击者还会尝试直接将零点击漏洞加载到区块链上,目标是处理区块链的系统和应用程序……尤其是在这些系统和网络有时与处理交易或拥有钱包的系统和网络相同的情况下,” 他补充道。
考虑到朝鲜攻击者的高频率,这一新的攻击向量可能对加密行业产生严重影响。
来自 TRM Labs 的数据显示,与朝鲜有关的团体今年已窃取超过 15 亿美元的加密资产。调查人员认为,这些资金帮助资助了平壤的军事项目和规避国际制裁的努力。
鉴于此,GTIG 建议加密用户通过阻止可疑下载和限制未经授权的网页脚本来降低风险。该组织还敦促安全研究人员识别并标记嵌入区块链网络中的恶意代码。
