روش عجیب هکرهای کره شمالی برای سرقت رمزارزها

نورنیوز-گروه اقتصادی: در گزارش جدید گروه Google Threat Intelligence آمده است که یک گروه هکری منتسب به کره‌شمالی، تکنیک جدیدی به نام EtherHiding را برای میزبانی و پخش بدافزار روی بلاکچین‌های عمومی به‌کار گرفته است. این گزارش می‌گوید برای اولین‌بار یک منبع دولتی از قراردادهای هوشمند به‌عنوان کانال پنهان‌سازی و توزیع بدافزار استفاده کرده است.

گوگل فعالیت‌های هکری را به گروه UNC5342 مرتبط می‌داند که پیش‌تر با عملیات Contagious Interview توسعه‌دهندگان و فعالان رمزارز را هدف قرار داده بود. این گروه از اوایل ۲۰۲۵ از روش EtherHiding بهره می‌برد و ابزار جدیدی به نام JADESNOW را برای دانلود بدافزار اجرا کرده است.

عملیات JADESNOW بدافزاری به نام INVISIBLEFERRET را از داده‌های ذخیره‌شده در قراردادهای هوشمند روی شبکه‌های BNB Smart Chain و اتریوم بازیابی و اجرا می‌کند. نکته‌ی خطرناک این است که حمله‌ی مبتنی‌بر درخواست‌های فقط خواندنی بلاکچین است و این یعنی تراکنش جدیدی ثبت نمی‌شود و ردپای قابل‌تحلیل باقی نمی‌ماند.

ازآنجا که قراردادهای هوشمند تغییرناپذیرند، حذف یا غیرفعال‌کردن محتوای مخرب در سطح شبکه ممکن نیست. توزیع اولیه‌ی بدافزارها معمولاً از طریق سایت‌های وردپرسی آلوده و فریب‌های مصاحبه‌ی شغلی جعلی انجام شده است.

گوگل راه‌حل‌های موقتی را پیشنهاد می‌کند که شامل مسدودسازی یا محدودکردن دسترسی به سرویس‌های JSON-RPC عمومی، استفاده از نودهای خودمیزبان با سیاست‌های سخت‌گیرانه و اعمال محدودیت‌های اجرایی روی افزونه‌ها و اسکریپت‌ها در مرورگرها است تا جلوی اجرای هشدارها و دانلودهای جعلی گرفته شود.