Forskere advarer om, at både statsfinansierede og kriminelle aktører nu bruger smarte kontrakter på offentlige blockchains til at lagre og distribuere skadelig kode – en avanceret teknologi kaldet EtherSkjul.
Metoden gør det betydeligt vanskeligere for sikkerhedsfirmaer og retshåndhævende myndigheder at spore, blokere eller lukke angriberes infrastruktur, da blockchain-teknologi er bygget til at være decentraliseret og uforanderlig.

Hvad er EtherHiding?

EtherHiding er en angrebsmetode, hvor angribere udnytter smarte kontrakter – programmer, der kører på blockchains som Ethereum eller BNB Smart Chain – til at skjule ondsindet kode og instruktioner direkte i blockchainens datafelter.
Når specifikke betingelser er opfyldt, eller kontrakten påberåbes, returnerer den en skadelig nyttelast som downloades og udføres på offerets computer.

Det betyder, at angriberne behøver ikke længere en central server eller et kompromitteret domæne, der kan tages ned, hvilket gør infrastrukturen meget mere modstandsdygtig over for detektion og nedlukning.
Teknologien er baseret på blockchains grundlæggende principper – gennemsigtighed og uforanderlighed. – men bruges her med et helt nyt, skadeligt formål.

Reklame

Et nyt skridt i cybervåbenkapløbet

Cyberforsvarere har længe været afhængige af at blokere IP-adresser, lukke domæner og slette serverindhold, når der opdages angreb.
Med EtherHiding bliver dette praktisk talt umuligt. Indholdet forbliver på blockchainen for evigt, og hver gang en smart kontrakt udføres, kan den aktiveringskode, der er spredt på tværs af flere kontrakter.

Ifølge forskere fra Google Threat Intelligence Group (GTIG) EtherHiding repræsenterer et "skift mod næste generations skudsikker hosting", hvor decentraliserede systemer bruges til at bygge vedvarende, uhåndgribelig infrastruktur.

Angribere udnytter også proxy-mønster, en legitim udviklingstilgang til at gøre smarte kontrakter opgraderbare.
I den kriminelle variant bruges mønsteret til at opdele koden i flere dele – så en bagdør kan opdateres uden at hele kæden behøver at blive ændret.
Resultatet er en fleksibelt og langvarigt C2 (Command & Control) miljø, perfekt til både cyberkriminelle og statsstøttede operationer.

Nordkoreansk gruppe UNC5342 – JADESNOW og INVISIBLEFERRE

GTIG har for nylig afsløret, at Nordkoreansk trusselsaktør UNC5342 bruger EtherHiding-teknologi til at levere ondsindet JavaScript-kode i flere faser.
Den første fase – som Google kalder det JADESNOW-downloaderen – henter, dekrypterer og udfører kode gemt i smarte kontrakter på Ethereum og BNB Smart Chain.
Data gemt i kontrakter er ofte Base64-kodet og XOR-krypteret, hvilket gør det vanskeligt at opdage under automatiske scanninger.

Når den er kørt indlæsning næste fase ned: INVISIBLEFERRET.JAVASCRIPT, en bagdør, der kan udføre yderligere nyttelast og stjæle data såsom krypto-wallets, browserudvidelser og lokalt gemte loginoplysninger.
Derudover er koden i INVISIBLEFERRET nogle gange opdelt på tværs af flere kontrakter, hvilket øger kompleksiteten og modstandsdygtigheden over for analyse.

Social manipulation – falske job og “ClickFix”

UNC5342'erne angrebene kombineres med sofistikeret social manipulation.
Gruppen er kendt for at udføre falske rekrutteringskampagner på LinkedIn og forskellige rekrutteringssider, hvor softwareudviklere tiltrækkes med attraktive jobtilbud.

Når ofrene reagerer, flytter angriberne samtalen til Discord eller Telegram og beder dem om at udføre en "teknisk test".
Testen består faktisk af at downloade en forgiftet kodebase fra GitHub, som inficerer systemet.

I andre tilfælde bruges det ClickFix-kampagner, hvor en falsk besked hævder, at et program skal opdateres eller repareres, og beder brugeren om at køre en kommando lokalt.
Dette aktiverer den ondsindede JavaScript-kode og starter hele infektionskæden via blockchainen.

UNC5142 – den kriminelle forgænger

De cyberkriminel gruppe UNC5142 brugt EtherHiding allerede i 2023 i forbindelse med sine kampagner mod WordPress-hjemmesider.
De injicerede ondsindet kode i plugins, temaer og databaser, hvilket resulterede i, at besøgende blev mødt med falske pop op-vinduer med teksten:

“"Din Google Chrome-version er forældet – opdater nu."”

Disse angreb blev bygget på rammeværket CLEARFAKE, senere opgraderet til KLARE SHORTS, som downloadede malware direkte fra smarte kontrakter.
GTIG har overhalet 14.000 kompromitterede sider hvor UNC5142's kode har været aktiv.

CLEARSHORT anvendelser Web3.js, et bibliotek, der muliggør kommunikation med Ethereum-noder via HTTP eller WebSocket.
Ved at oprette forbindelse til offentlige noder, som angribere kan indlæse downloade, opdatere og køre deres nyttelast uden at bruge traditionelle servere.

En decentraliseret malware-infrastruktur

Fordelene for angriberne er åbenlyse:

• Blockchain-data kan ikke slettet eller ændret.
• Infrastrukturomkostningerne er næsten nul, da angribere bruger offentlige kæder.
• Kode kan distribueres globalt – hver node i netværket kan fungere som en vært.
• Identifikation via DNS-sporing eller IP-blokering bliver meningsløs.

Samtidig bliver forsvarsspillerens udfordringer større.
De fleste sikkerhedsværktøjer er designet til at overvåge filsystemer, e-mail, netværkstrafik og cloudressourcer – ikke blockchain-interaktioner.
Det betyder, at EtherHiding-angreb går ofte uopdaget hen, især i miljøer hvor udviklere selv arbejder med smarte kontrakter og dApp-frameworks.

Hvordan virksomheder og myndigheder kan beskytte sig selv

At reducere risikoen for denne type angreb GTIG og flere uafhængige sikkerhedsforskere anbefaler følgende foranstaltninger:

• Overvåg kald til blockchain-API'er og RPC-slutpunkter. Log alle eksterne Web3-anmodninger, der ikke er forretningskritiske.
• Indfør strenge tilladelsesniveauer så brugerne ikke kan køre ubekræftede scripts lokalt.
• Scan npm-pakker, GitHub-lagre og tredjepartsafhængigheder at opdage ondsindet kode.
• Træn udviklere og administratorer om hvordan social engineering fungerer – især falske rekrutteringsforsøg.
• Samarbejd med blockchain-udbydere til hurtig rapportering af ondsindede kontrakter og nøgler.

Angreb som EtherHiding viser tydeligt, hvordan angribere bevæger sig væk fra traditionelle sårbarheder og i stedet bedrifter selve fundamentet for den decentraliserede økonomi – blockchain-teknologi – som et nyt værktøj til cyberkriminalitet.