受朝鲜政权支持的网络攻击组织与网络犯罪集团正将加密货币区块链变为隐蔽的“防弹托管”平台,用智能合约分发恶意载荷。谷歌威胁情报小组指出,朝鲜APT组织UNC5342已使用被称为“EtherHiding”的技术执行加密货币盗窃与间谍行动,这种新型攻击让传统检测与清除手段面临更大挑战。
EtherHiding的核心是利用以太坊、BNB等公链上的智能合约充当命令控制服务器。攻击者将加密的恶意载荷存放在合约中,当特定条件被满足时,合约便返回或触发载荷下载执行。与租用或入侵服务器相比,区块链的去中心化和不可篡改属性使得这些C2节点几乎无法被关闭或删除。攻击者还常通过多层合约相互引用和加密数据来提高隐蔽性,并将不同模块拆分到独立合约中,便于随时更新或扩展功能。
谷歌报告显示,朝鲜组织UNC5342将EtherHiding与虚假招聘诈骗结合,诱骗软件开发人员下载安装伪装成技术评估或修复工具的恶意代码。这些初始样本通常托管在恶意npm仓库中,被称为JADESNOW下载器,用于从区块链智能合约中获取、解密并执行后续载荷。最终部署的INVISIBLEFERRET.JAVASCRIPT后门可窃取加密钱包、浏览器扩展数据和本地凭证。攻击过程融合了社会工程、开源托管和区块链控制,传播效率高、溯源难度大。
与此同时,网络犯罪团伙UNC5142自2023年起通过入侵网站展示伪造Chrome更新弹窗传播信息窃取程序。该组织升级后的CLEARSHORT框架利用BNB智能合约下载额外载荷,并通过ClickFix社会工程诱使受害者执行恶意命令。攻击者已入侵超过一万四千个WordPress网站,将恶意代码注入插件、主题或数据库。UNC5142的智能合约架构也在演进,从单一合约发展为代理合约和逻辑合约分离的结构,各组件可单独替换与更新,延长了攻击活动的生命周期。
EtherHiding的出现标志着网络攻击者正把区块链的去中心化和持久性转化为攻击资产,使得安全厂商和执法机构的封禁与取证难度倍增。防御方需要将监测能力延伸至链上,结合链上威胁情报与异常调用分析,同时强化网站与CMS防护、严格审查第三方软件包与招聘流程中涉及的脚本执行,并提高对社交工程攻击的警觉性。唯有在链上与链下同时建立监测与响应机制,才能应对这类不断演进的隐蔽威胁。