FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

国家支持的黑客组织与网络犯罪分子正日益滥用加密货币区块链托管恶意载荷，这种被称为"EtherHiding"的技术使攻击更难以被检测和清除。

谷歌威胁情报小组（GTIG）研究人员在新报告中指出："我们观察到朝鲜（DPRK）黑客组织UNC5342首次使用'EtherHiding'技术分发恶意软件并实施加密货币盗窃，这是GTIG首次发现国家级黑客采用该方法。"

虽然这是国家级黑客组织使用EtherHiding的首个公开案例，但谷歌发现网络犯罪团伙UNC5142在过去一年中已开始使用并完善该技术。该组织通过入侵WordPress网站，向访问者传播信息窃取程序。

基于智能合约的C2基础设施

该技术利用智能合约作为命令控制（C2）服务器——这些存储在区块链上的程序会在满足特定条件时执行代码并返回恶意载荷。其核心优势在于不可篡改性：相比租用或入侵服务器托管恶意软件，安全公司或执法机构更难关闭基于加密货币区块链的C2基础设施，因为区块链本身具有高度去中心化特性。

攻击者还采用多重智能合约链相互引用，并对载荷加密以避免被扫描工具轻易检测。谷歌研究人员表示："EtherHiding实质上代表了向下一代防弹托管服务的转变，攻击者重新利用区块链技术的固有特性达成恶意目的。"

朝鲜虚假招聘活动中的实际应用

与其他国家级黑客不同，朝鲜APT组织以同时开展网络犯罪和网络间谍活动著称，其目标包括为政权筹集资金。2017至2023年间，朝鲜通过加密货币盗窃估计获利17亿美元。

UNC5342组织正是通过LinkedIn和招聘网站发布虚假职位诱骗软件开发人员。诈骗者会将对话转移至Discord或Telegram，要求受害者下载GitHub上的有毒代码库进行"技术评估"。另一种变体则通过视频面试展示ClickFix类错误消息，诱骗下载"修复软件"。

初始阶段恶意软件通常是托管在恶意npm仓库的JavaScript代码（GTIG命名为JADESNOW下载器），用于部署窃取加密货币钱包、浏览器扩展数据和本地凭证的二级木马。研究人员指出："JADESNOW利用EtherHiding从BNB智能链和以太坊的智能合约中获取、解密并执行恶意载荷。最终载荷通常是INVISIBLEFERRET.JAVASCRIPT等持久性后门。"

ClickFix攻击活动演进

网络犯罪团伙UNC5142自2023年起就通过入侵网站展示虚假Chrome更新弹窗（ProofPoint称为CLEARFAKE框架）传播信息窃取程序。谷歌追踪到其升级版CLEARSHORT框架，可从BNB智能链的智能合约下载额外恶意载荷。

研究人员表示："CLEARSHORT登录页面利用ClickFix社会工程技术，诱使受害者通过Windows运行对话框执行恶意命令。"该组织主要针对WordPress网站，已入侵超过14,000个网页，将恶意代码注入现有插件、主题或数据库。

UNC5142对智能合约的使用已从单一合约发展为将不同攻击组件拆分至三个独立合约，这种类似代理模式的设计使各部分可单独升级。研究人员指出："稳定的代理合约将调用转发至可替换的二级合约，便于修复漏洞或添加功能。"

参考来源：

North Korean threat actors turn blockchains into malware delivery servers

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）