Північнокорейська група, яка діє при державній підтримці, тепер використовує публічні блокчейни для розміщення шкідливих навантажень, ідеться в новому дослідженні Threat Intelligence Group компанії Google (GTIG). Кампанія, що використовує техніку, відому як EtherHiding, є першим задокументованим випадком, коли актор, пов’язаний зі штатною розвідкою, застосував доставку шкідливого ПЗ через смарт-контракти для ухилення від виявлення та унеможливлення їх видалення.
Додатково слід пояснити, що таке блокчейн і чому атака через нього є особливо небезпечною. Блокчейн – це книга з історією транзакцій, із якої неможливо видалити додані записи. Публічні блокчейни, як-от Ethereum або BNB Smart Chain, забезпечують відкритий доступ до збережених даних і виконуваного коду смарт-контрактів. Через свою децентралізовану природу і незмінність блокчейн має критичне значення для фінансової інфраструктури, тому в ньому зберігаються цінні дані й логіка, яким довіряють численні сервіси. Саме ці характеристики роблять вбудоване в блокчейн шкідливе ПЗ небезпечним: сховище даних зазвичай незмінні, отже віруси не можна просто стерти. Також запити на читання даних блокчейну не створюють транзакцій і не залишають слідів, а віруси приховано залишаються доступними.
Google пов’язує цю активність із UNC5342, групою, яку компанія пов’язує з багаторічною операцією “Contagious Interview”, спрямованою на розробників та фахівців з криптовалют. Походження використання EtherHiding було вперше зафіксовано у лютому 2025 року; у найновішому наборі інструментів UNC5342 присутній JavaScript-завантажувач під назвою JADESNOW, що завантажує і виконує бекдор INVISIBLEFERRET безпосередньо з даних, збережених у смарт-контрактах на BNB Smart Chain та Ethereum.
Механізм доставки навантаження групи базується на лише-запитах для читання даних блокчейну. Ці запити не створюють нових транзакцій і не залишають видимих слідів у інструментах аналітики блокчейну, і через те, що самі контракти незмінні, захисники не можуть видалити вбудовані скрипти.
У практичному вимірі ця техніка дозволяє зловмисникам оновлювати або замінювати шкідливі навантаження шляхом перезапису змінних зберігання контракту в ланцюзі, усе це без необхідності повторно компрометувати сайти розповсюдження або клієнтів. Хоча фінансово мотивовані актори раніше використовували подібну інфраструктуру, Google відзначає, що це перший випадок, коли група зі зв’язками до держави інтегрувала таку техніку у свій операційний набір.
Звіт Google пов’язує блокчейн-інфраструктуру з реальними інфекціями, що доставлялися через компрометовані сайти на WordPress та соціально-інженерні пастки, включно з фальшивими співбесідами на роботу, спрямованими на заманювання крипто-розробників. Жертви, що потрапляли на такі сайти, отримували завантажувач JADESNOW, який потім звертався до смарт-контрактів в ланцюзі, отримував JavaScript-навантаження і запускав його локально. Це навантаження, у свою чергу, запускало INVISIBLEFERRET – повнофункціональний бекдор з віддаленим керуванням, що дозволяє довготривалу розвідку та викрадення даних.
Хоча Google не деталізує в звіті точний спосіб отримання даних зі смарт-контрактів, попередні дослідження EtherHiding показували, що зловмисники часто покладаються на стандартні JSON-RPC виклики, які можуть проходити через публічну або орендовану інфраструктуру. Блокування таких сервісів або примус клієнтів до використання власних вузлів з політиками обмеження доступу може дати тимчасовий механізм стримування. На боці браузера організації можуть впроваджувати суворі політики щодо розширень і виконання скриптів та жорстко контролювати процеси оновлення, щоб запобігти поширенню фальшивих сповіщень у стилі Chrome.
