Er is waargenomen dat een bedreigingsacteur met banden met de Democratische Volksrepubliek Korea (ook bekend als Noord-Korea) gebruik maakt van de EtherHiding-techniek om malware te verspreiden en diefstal van cryptocurrency mogelijk te maken. Dit is de eerste keer dat een door de staat gesponsorde hackgroep de methode heeft omarmd.
De activiteit is door Google Threat Intelligence Group (GTIG) toegeschreven aan een bedreigingscluster dat het volgt UNC5342ook bekend als CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) en Void Dokkaebi (Trend Micro).
De aanvalsgolf maakt deel uit van een langlopende campagne met de codenaam Contagious Interview, waarbij de aanvallers potentiële doelwitten op LinkedIn benaderen door zich voor te doen als recruiters of managers, en hen te misleiden om kwaadaardige code uit te voeren onder het voorwendsel van een functiebeoordeling nadat ze het gesprek naar Telegram of Discord hebben verplaatst.
Het uiteindelijke doel van deze inspanningen is het verkrijgen van ongeoorloofde toegang tot de machines van ontwikkelaars, het stelen van gevoelige gegevens en het overhevelen van cryptocurrency-activa – in overeenstemming met het dubbele streven van Noord-Korea naar cyberspionage en financieel gewin.
Google zei dat het sinds februari 2025 heeft waargenomen dat UNC5342 EtherHiding integreert – een heimelijke aanpak waarbij snode code wordt ingebed in een slim contract op een openbare blockchain zoals BNB Smart Chain (BSC) of Ethereum. Door dit te doen, verandert de aanval de blockchain in een gedecentraliseerde dead drop-resolver die bestand is tegen verwijderingsinspanningen.
Naast veerkracht misbruikt EtherHiding ook het pseudonieme karakter van blockchain-transacties om het moeilijker te maken om te traceren wie het slimme contract heeft ingezet. Wat de zaken nog ingewikkelder maakt, is dat de techniek ook flexibel is in die zin dat de aanvaller die de controle heeft over het slimme contract de kwaadaardige lading op elk moment kan bijwerken (hoewel dit gemiddeld $ 1,37 aan gaskosten kost), waardoor de deur wordt geopend voor een breed spectrum aan bedreigingen.
“Deze ontwikkeling duidt op een escalatie in het dreigingslandschap, nu nationale dreigingsactoren nu nieuwe technieken gebruiken om malware te verspreiden die bestand is tegen verwijdering door wetshandhavers en gemakkelijk kan worden aangepast voor nieuwe campagnes”, zegt Robert Wallace, consulting leider bij Mandiant, Google Cloud, in een verklaring gedeeld met The Hacker News.
De infectieketen die wordt geactiveerd na de social engineering-aanval is een proces dat uit meerdere fasen bestaat en zich kan richten op Windows-, macOS- en Linux-systemen met drie verschillende malwarefamilies:
- Een eerste downloader die zich manifesteert in de vorm van npm-pakketten
- BeaverTail, een JavaScript-diefstal die verantwoordelijk is voor het exfiltreren van gevoelige informatie, zoals portemonnees voor cryptocurrency, gegevens over browserextensies en inloggegevens
- JADESNOW, een JavaScript-downloader die EtherHiding gebruikt om InvisibleFerret op te halen
- InvisibleFerret, een Python-achterdeur die wordt ingezet tegen waardevolle doelen om controle op afstand van de gecompromitteerde host mogelijk te maken, evenals gegevensdiefstal op de lange termijn door zich te richten op MetaMask- en Phantom-portefeuilles, evenals inloggegevens van wachtwoordbeheerders zoals 1Password
“EtherHiding vertegenwoordigt een verschuiving naar bulletproof hosting van de volgende generatie, waarbij de inherente kenmerken van blockchain-technologie worden hergebruikt voor kwaadaardige doeleinden”, aldus Google. “Deze techniek onderstreept de voortdurende evolutie van cyberdreigingen naarmate aanvallers zich aanpassen en nieuwe technologieën in hun voordeel gebruiken.”
