Korea Północna wykorzystuje „EtherHiding”: malware ukryty w smart kontraktach kradnie krypto i dane deweloperów - Security Bez Tabu

Korea Północna wykorzystuje „EtherHiding”: malware ukryty w smart kontraktach kradnie krypto i dane deweloperów

Wprowadzenie do problemu / definicja luki

16 października 2025 r. Google Threat Intelligence Group (GTIG/Mandiant) poinformował o pierwszym potwierdzonym użyciu techniki EtherHiding przez aktora państwowego – klaster przypisywany Korei Północnej (UNC5342). EtherHiding polega na osadzaniu złośliwego kodu w smart kontraktach na publicznych blockchainach (m.in. BNB Smart Chain, Ethereum) i wykorzystywaniu ich jak odpornego na wyłączenia „dead drop resolvera” do pobierania ładunków malware.

Technika wpisuje się w szerszą taktykę „dead drop resolver” opisaną w ATT&CK, gdzie legitymne usługi webowe przechowują wskaźniki do dalszej infrastruktury C2 lub payloadów, utrudniając blokowanie i atrybucję.

W skrócie

  • Kto: UNC5342 (aliasy m.in. DeceptiveDevelopment/DEV#POPPER/Famous Chollima).
  • Co: użycie EtherHiding do dostarczania wieloetapowego malware oraz kradzieży kryptowalut i poświadczeń.
  • Kiedy: kampania aktywna co najmniej od lutego 2025 r.; publiczne ujawnienie 16 października 2025 r.
  • Jak: socjotechnika na LinkedIn + przeniesienie rozmowy do Telegram/Discord; uruchamianie złośliwych zadań „testowych”.
  • Dlaczego to ważne: blockchain zapewnia odporność na Takedown, wersjonowanie payloadów i pseudonimowość wdrażających kontrakt.

Kontekst / historia / powiązania

Opisana aktywność łączy się z długotrwałą kampanią „Contagious Interview”, w której atakujący podszywają się pod rekruterów i celują w programistów/freelancerów. ESET od początku 2024 r. śledził zbliżony klaster „DeceptiveDevelopment”, dokumentując m.in. dążenie do kradzieży krypto-portfeli i danych z menedżerów haseł. To buduje ciągłość między wcześniejszymi operacjami a obecnym wykorzystaniem EtherHiding.

Równolegle media branżowe (np. CyberScoop) wskazują na rosnące użycie technik utrudniających wykrycie przez północnokoreańskie grupy – adopcja blockchaina jako elementu łańcucha dostarczania to kolejny krok tej ewolucji.

Analiza techniczna / szczegóły luki

Łańcuch infekcji (wysoki poziom):

  1. Lure & Initial Execution: ofiara (dev) wykonuje „zadanie rekrutacyjne” dostarczone po kontakcie przez LinkedIn → Telegram/Discord. Uruchamiany jest początkowy downloader, często w formie pakietu npm.
  2. BeaverTail (JS stealer): kradnie dane przeglądarki, rozszerzeń i portfeli, przygotowuje system pod kolejne etapy.
  3. JADESNOW (JS downloader): komponent, który komunikuje się z blockchainem (kontrakty na BSC/ETH) w trybie tylko-do-odczytu, by pobrać kolejny ładunek.
  4. InvisibleFerret (JS wariant backdoora): zapewnia zdalną kontrolę i długotrwałą eksfiltrację (m.in. MetaMask, Phantom, menedżery haseł). Na wybranych hostach doinstalowywany jest przenośny interpreter Pythona, aby uruchomić dodatkowe moduły kradnące.

Dlaczego blockchain? Smart kontrakt pełni rolę „bulletproof hostingu” dla wskaźników/payloadu: jest trudny do usunięcia, może być modyfikowany niskim kosztem (GTIG podaje średnie opłaty gazu rzędu ok. 1–2 USD na aktualizację), a odczyt danych z łańcucha nie zostawia śladów na dysku serwera atakującego.

Wieloplatformowość: kampania obejmuje Windows, macOS i Linux; do inicjalnej fazy wykorzystywane są artefakty deweloperskie (np. paczki npm), co zwiększa wiarygodność w oczach celu.

TTPs (wybrane):

  • T1102.001 Web Service: Dead Drop Resolver (odczyt z kontraktów/txn).
  • Pakiety ekosystemu JavaScript/npm jako nośnik initial stage.
  • Socjotechnika via LinkedIn → Telegram/Discord z pretekstem rekrutacji.

Praktyczne konsekwencje / ryzyko

  • Odporność na Takedown: klasyczne blokady domen/C2 niewystarczają – punktem dystrybucyjnym jest blockchain, nie pojedynczy serwer.
  • Aktywne wersjonowanie ładunków: aktor może szybko przestawiać wskaźniki i code-chunks w kontrakcie (niski koszt gazu), co utrudnia IOC-based hunting.
  • Docelowi użytkownicy o wysokich uprawnieniach: deweloperzy często dysponują tokenami, kluczami i dostępami do środowisk CI/CD, co podnosi ryzyko wtórnej kompromitacji łańcucha dostaw.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i hardening

  • Zasada „no task artifacts”: Zabroń uruchamiania binarek/skryptów dostarczonych w procesie rekrutacji. Wymagaj repo z powtarzalnym buildem i SBOM; uruchamiaj w izolacji (devcontainer/VM). (Wnioski na bazie ESET/GTIG).
  • Blokowanie dostępu do RPC publicznych (ETH/BSC) z hostów deweloperskich, o ile nie są potrzebne; ewentualnie proxy-allowlist dla konkretnych endpointów. (Wniosek analityczny na bazie TTP).
  • Policy na menedżery haseł i portfele: separacja profili przeglądarki, wymuszenie hardware-wallet dla środków firmowych.

Detekcja i monitoring

  • Use case „Blockchain as C2/DDR”: monitoruj nietypowe zapytania HTTP(s)/WebSocket do publicznych endpointów RPC (Infura, Ankr, Alchemy, publiczne BSC RPC) z hostów, które nie powinny rozmawiać z sieciami L1/L2. Koreluj z uruchomieniem node/py interpretera. (Mapowanie do T1102.001).
  • Hunting w przeglądarce: zdarzenia dot. rozszerzeń portfeli (MetaMask/Phantom), anomalia w plikach Local Storage/IndexedDB; detekcje na exfil JS-stealerów (BeaverTail).
  • Npm supply chain: alerty na instalację/uruchomienie niezweryfikowanych paczek lub niespodziewanych post-install scripts.

IR/Response

  • Odcinaj dostęp do providerów RPC na czas triage; zrzut pamięci przeglądarki i artefaktów rozszerzeń; rotacja kluczy API/CI i sekretów z menedżerów. (Wniosek operacyjny spójny z TTP opisywanymi przez GTIG/ESET).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

„EtherHiding” nie jest całkowicie nową koncepcją – w przeszłości przestępcy nadużywali smart kontraktów do ukrywania JS dla kampanii np. na WordPress – ale po raz pierwszy potwierdzono adopcję tej metody przez aktor państwowy (DPRK). To istotny skok jakościowy względem wcześniejszych kampanii wykorzystujących tradycyjny hosting, paste-serwisy czy social media jako „dead drop”.

Podsumowanie / kluczowe wnioski

  • EtherHiding w wykonaniu UNC5342 pokazuje, że blockchain stał się elementem łańcucha dostarczania APT – nie tylko celem kradzieży krypto.
  • Obrona wymaga policy-driven ograniczenia dostępu do RPC, sandboxingu zadań rekrutacyjnych i behawioralnych detekcji na interakcje z łańcuchem bloków.
  • Zespoły powinny zaktualizować model zagrożeń o scenariusze „Blockchain as C2/DDR” i przygotować playbooki IR pod kradzież portfeli/przeglądarki.

Źródła / bibliografia

  1. Google Threat Intelligence (Mandiant): „DPRK adopts EtherHiding to deliver malware and steal cryptocurrency” – 16.10.2025. (Google Cloud)
  2. The Hacker News: „North Korean Hackers Use EtherHiding to Hide Malware Inside Blockchain Smart Contracts” – 16.10.2025. (The Hacker News)
  3. ESET WeLiveSecurity: „DeceptiveDevelopment targets freelance developers…” – 20.02.2025. (We Live Security)
  4. MITRE ATT&CK T1102.001 – Web Service: Dead Drop Resolver. (MITRE ATT&CK)
  5. CyberScoop: „North Korean operatives spotted using evasive techniques…” – 16.10.2025. (CyberScoop)