Forscher warnen, dass sowohl staatlich finanzierte als auch kriminelle Akteure nun intelligente Verträge auf öffentlichen Blockchains, um Schadcode zu speichern und zu verteilen – eine fortschrittliche Technologie namens EtherHiding.
Diese Methode erschwert es Sicherheitsunternehmen und Strafverfolgungsbehörden erheblich, die Infrastruktur von Angreifern zu verfolgen, zu blockieren oder abzuschalten, da die Blockchain-Technologie dezentral und unveränderlich aufgebaut ist.
Was ist EtherHiding?
EtherHiding ist eine Angriffsmethode, bei der Angreifer Smart Contracts – Programme, die auf Blockchains wie Ethereum oder BNB Smart Chain laufen – nutzen, um schädlichen Code und Anweisungen direkt in den Datenfeldern der Blockchain zu verstecken.
Wenn bestimmte Bedingungen erfüllt sind oder der Vertrag aufgerufen wird, gibt er eine schädliche Nutzlast die heruntergeladen und auf dem Computer des Opfers ausgeführt wird.
Dies bedeutet, dass die Angreifer Es wird kein zentraler Server oder eine kompromittierte Domäne mehr benötigt, die heruntergefahren werden kann, wodurch die Infrastruktur viel resistent gegen Erkennung und Abschaltung.
Die Technologie basiert auf den Grundprinzipien der Blockchain – Transparenz und Unveränderlichkeit – wird hier aber für einen völlig neuen, bösartigen Zweck eingesetzt.
Ein neuer Schritt im Cyber-Wettrüsten
Cyber-Verteidiger verlassen sich seit langem darauf, IP-Adressen zu blockieren, Domänen abzuschalten und Serverinhalte zu löschen, wenn Angriffe erkannt werden.
Mit EtherHiding wird dies praktisch unmöglich. Der Inhalt bleibt für immer in der Blockchain und kann bei jeder Ausführung eines Smart Contracts Aktivierungscode, der über mehrere Verträge verteilt ist.
Laut Forschern aus Google Threat Intelligence Group (GTIG) EtherHiding stellt einen “Wechsel hin zum Bulletproof Hosting der nächsten Generation” dar, bei dem dezentrale Systeme zum Aufbau hartnäckige, schwer fassbare Infrastruktur.
Die Angreifer nutzen auch Proxy-Muster, ein legitimer Entwicklungsansatz, um Smart Contracts aktualisierbar zu machen.
In der kriminellen Variante wird das Muster verwendet, um der Code in mehrere Teile – sodass eine Hintertür aktualisiert werden kann, ohne dass die gesamte Kette geändert werden muss.
Das Ergebnis ist eine flexible und langlebige C2-Umgebung (Command & Control), perfekt für Cyberkriminelle und staatlich geförderte Operationen.
Nordkoreanische Gruppe UNC5342 – JADESNOW und INVISIBLEFERRE
GTIG hat kürzlich bekannt gegeben, dass die Nordkoreanischer Bedrohungsakteur UNC5342 verwendet die EtherHiding-Technologie, um bösartigen JavaScript-Code in mehreren Phasen zu übermitteln.
Die erste Phase – wie Google sie nennt Der JADESNOW-Downloader – ruft in Smart Contracts auf Ethereum und BNB Smart Chain gespeicherten Code ab, entschlüsselt ihn und führt ihn aus.
In Verträgen gespeicherte Daten sind oft Base64-kodiert und XOR-verschlüsselt, was die Erkennung bei automatischen Scans erschwert.
Sobald es ausgeführt wird Laden nächste Phase nach unten: INVISIBLEFERRET.JAVASCRIPT, eine Hintertür, die zusätzliche Nutzdaten ausführen und Daten wie Krypto-Wallets, Browsererweiterungen und lokal gespeicherte Anmeldeinformationen stehlen kann.
Darüber hinaus ist der Code in INVISIBLEFERRET manchmal auf mehrere Verträge aufgeteilt, was die Komplexität weiter erhöht und die Analyse erschwert.
Social Engineering – Fake-Jobs und “ClickFix”
UNC5342 Angriffe werden kombiniert mit Ausgefeiltes Social Engineering.
Die Gruppe ist bekannt für die Durchführung gefälschte Rekrutierungskampagnen auf LinkedIn und verschiedene Rekrutierungsseiten, auf denen Softwareentwickler mit attraktiven Stellenangeboten angelockt werden.
Wenn die Opfer antworten, lenken die Angreifer das Gespräch auf Discord oder Telegram und fordert sie auf, einen “technischen Test” durchzuführen.
Der Test besteht eigentlich darin, eine vergiftete Codebasis von GitHub herunterzuladen, die das System infiziert.
In anderen Fällen wird es verwendet ClickFix-Kampagnen, bei dem eine gefälschte Meldung behauptet, dass ein Programm aktualisiert oder repariert werden muss, und den Benutzer auffordert, einen Befehl lokal auszuführen.
Dadurch wird der schädliche JavaScript-Code aktiviert und die gesamte Infektionskette über die Blockchain gestartet.
UNC5142 – der kriminelle Vorgänger
Der Cyberkriminelle Gruppe UNC5142 gebraucht EtherHiding bereits im Jahr 2023 im Zusammenhang mit seinen Kampagnen gegen WordPress-Websites.
Sie schleusten schädlichen Code in Plug-Ins, Designs und Datenbanken ein, was dazu führte, dass Besucher mit gefälschten Pop-ups mit folgendem Text begrüßt wurden:
“Ihre Google Chrome-Version ist veraltet – aktualisieren Sie sie jetzt.”
Diese Angriffe basierten auf dem Framework ClearFake, später aktualisiert auf Transparente Shorts, das Malware direkt von Smart Contracts herunterlud.
GTIG hat die Zielvorgaben überschritten 14.000 kompromittierte Seiten wo der Code UNC5142 aktiv war.
CLEARSHORT verwendet Web3.js, eine Bibliothek, die die Kommunikation mit Ethereum-Knoten über HTTP oder WebSocket ermöglicht.
Durch die Verbindung mit öffentliche Knoten, Angreifer können laden Laden Sie ihre Nutzdaten herunter, aktualisieren Sie sie und führen Sie sie aus, ohne herkömmliche Server zu verwenden.
Eine dezentrale Malware-Infrastruktur
Die Vorteile für Angreifer liegen auf der Hand:
- Blockchain-Daten können nicht gelöscht oder geändert.
- Die Infrastrukturkosten betragen nahezu null, da Angreifer öffentliche Ketten verwenden.
- Code kann global verteilt werden – jeder Knoten im Netzwerk kann als Host fungieren.
- Eine Identifizierung über DNS-Tracking oder IP-Blockierung wird bedeutungslos.
Gleichzeitig werden die Herausforderungen für den Verteidiger größer.
Die meisten Sicherheitstools sind für die Überwachung von Dateisystemen, E-Mails, Netzwerkverkehr und Cloud-Ressourcen konzipiert – nicht für Blockchain-Interaktionen.
Dies bedeutet, dass EtherHiding-Angriffe bleiben oft unentdeckt, insbesondere in Umgebungen, in denen Entwickler selbst mit Smart Contracts und dApp-Frameworks arbeiten.
Wie sich Unternehmen und Behörden schützen können
Reduzieren das Risiko dieser Art von Angriff GTIG und mehrere unabhängige Sicherheitsforscher empfehlen die folgenden Maßnahmen:
- Überwachen Sie Aufrufe von Blockchain-APIs und RPC-Endpunkten. Protokollieren Sie alle externen Web3-Anfragen, die nicht geschäftskritisch sind.
- Führen Sie strenge Berechtigungsstufen ein sodass Benutzer keine unbestätigten Skripte lokal ausführen können.
- Scannen Sie npm-Pakete, GitHub-Repositorys und Abhängigkeiten von Drittanbietern um bösartigen Code zu erkennen.
- Entwickler und Administratoren schulen darüber, wie Social Engineering funktioniert – insbesondere gefälschte Rekrutierungsversuche.
- Zusammenarbeit mit Blockchain-Anbietern zur schnellen Meldung bösartiger Verträge und Schlüssel.
Angriffe wie EtherHiding zeigen deutlich, wie Angreifer sich von traditionellen Schwachstellen entfernen und stattdessen Heldentaten die Grundlage der dezentralen Wirtschaft – Blockchain-Technologie – als neues Werkzeug für Cyberkriminalität.








