Северокорейская группа, которая действует при государственной поддержке, теперь использует публичные блокчейны для размещения вредоносных нагрузок, говорится в новом исследовании Threat Intelligence Group компании Google (GTIG). Кампания, использующая технику, известную как EtherHiding, является первым задокументированным случаем, когда актер, связанный со штатной разведкой, применил доставку вредоносного ПО через смарт-контракты для уклонения от обнаружения и предотвращения их удаления.
Дополнительно следует объяснить, что такое блокчейн и почему атака через него является особенно опасной. Блокчейн-это книга с историей транзакций, из которой невозможно удалить добавленные записи. Публичные блокчейны, такие как Ethereum или BNB Smart Chain, обеспечивают открытый доступ к сохраненным данным и исполняемому коду смарт-контрактов. Из-за своей децентрализованной природы и неизменности блокчейн имеет критическое значение для финансовой инфраструктуры, поэтому в нем хранятся ценные данные и логика, которым доверяют многочисленные сервисы. Именно эти характеристики делают встроенное в блокчейн вредоносное ПО опасным: хранилище данных обычно неизменны, следовательно вирусы нельзя просто стереть. Также запросы на чтение данных блокчейна не создают транзакций и не оставляют следов, а вирусы скрыто остаются доступными.
Google связывает эту активность с UNC5342, группой, которую компания связывает с многолетней операцией «Contagious Interview», направленной на разработчиков и специалистов по криптовалютам. Происхождение использования EtherHiding было впервые зафиксировано в феврале 2025 года; в новейшем наборе инструментов UNC5342 присутствует JavaScript-загрузчик под названием JADESNOW, загружающий и выполняющий бэкдор INVISIBLEFERRET непосредственно из данных, сохраненных в смарт-контрактах на BNB Smart Chain и Ethereum.
Механизм доставки нагрузки группы основан на запросах только для чтения данных блокчейна. Эти запросы не создают новых транзакций и не оставляют видимых следов в инструментах аналитики блокчейна, и из-за того, что сами контракты неизменны, защитники не могут удалить встроенные скрипты.
В практическом измерении этот метод позволяет злоумышленникам обновлять или заменять вредоносные нагрузки путем перезаписи переменных хранения контракта в цепочке, и все это без необходимости повторно компрометировать сайты распространения или клиентов. В то время как финансово мотивированные участники ранее использовали аналогичную инфраструктуру, Google отмечает, что это первый раз, когда группа со связями с государством интегрировала такую технику в свой операционный набор.
Отчет Google связывает блокчейн-инфраструктуру с реальными инфекциями, доставляемыми через скомпрометированные сайты WordPress и социально-инженерные ловушки, включая поддельные собеседования, направленные на то, чтобы заманить крипто-разработчиков. Жертвы, попадавшие на такие сайты, получали загрузчик JADESNOW, который затем обращался к смарт-контрактам в цепи, получал JavaScript-нагрузку и запускал его локально. Эта нагрузка, в свою очередь, запускала INVISIBLEFERRET – полнофункциональный бэкдор с удаленным управлением, позволяющий долговременную разведку и похищение данных.
Хотя Google не детализирует в отчете точный способ получения данных из смарт-контрактов, предыдущие исследования EtherHiding показали, что злоумышленники часто полагаются на стандартные вызовы JSON-RPC, которые могут проходить через общедоступную или арендованную инфраструктуру. Блокировка таких сервисов или принуждение клиентов к использованию собственных узлов с политиками ограничение доступа может дать временный механизм сдерживания. На стороне браузера организации могут внедрять строгие политики в отношении расширений и выполнения сценариев и жестко контролировать процессы обновления, чтобы предотвратить распространение поддельных уведомлений в стиле Chrome.