Välkommen till IT-Branschen – Kanalen för IT-nyheter, Cybersäkerhet och Digitala Trender

För Företag, Leverantörer och Beslutsfattare i IT-Branschen

Digital strategi och insikter för beslutsfattare inom IT-branschen

Prenumerera

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
Prenumerera
Facebook Twitter Instagram Linkedin Pinterest
Kontakta oss

Nordkoreanska hotaktörer använder blockkedjor för att gömma och leverera skadlig kod – så fungerar “EtherHiding”

IT-BranschenavIT-Branschen
oktober 20, 2025
nordkoreanska cyberattacker och EtherHiding på blockkedjor – digital hackingkoncept. nordkoreanska cyberattacker och EtherHiding på blockkedjor – digital hackingkoncept.
GTIG varnar: Nordkoreanska aktörer använder EtherHiding för att sprida skadlig kod via blockkedjor.

Forskare varnar för att både statligt finansierade och kriminella aktörer nu använder smarta kontrakt på publika blockkedjor för att lagra och distribuera skadlig kod – en avancerad teknik som kallas EtherHiding.
Metoden gör det betydligt svårare för säkerhetsföretag och brottsbekämpande myndigheter att spåra, blockera eller stänga ner angriparnas infrastruktur, eftersom blockkedjetekniken är byggd för att vara decentraliserad och oföränderlig.

Vad är EtherHiding?

EtherHiding är en attackmetod där angripare utnyttjar smarta kontrakt – program som körs på blockkedjor som Ethereum eller BNB Smart Chain – för att gömma skadlig kod och instruktioner direkt i blockkedjans datafält.
När specifika villkor uppfylls eller kontraktet anropas returnerar det en skadlig nyttolast som hämtas och körs på offrets dator.

Det innebär att angriparna inte längre behöver en central server eller komprometterad domän som kan tas ner, vilket gör infrastrukturen mycket mer resistent mot upptäckt och nedstängning.
Tekniken bygger på blockkedjans grundprinciper – transparens och oföränderlighet – men används här i ett helt nytt, skadligt syfte.

Annons

Ett nytt steg i cybervapenkapplöpningen

Cyberförsvarare har länge förlitat sig på att blockera IP-adresser, stänga domäner och radera serverinnehåll när attacker upptäcks.
Med EtherHiding blir detta i praktiken omöjligt. Innehållet finns kvar för alltid på blockkedjan, och varje gång ett smart kontrakt körs kan det aktivera kod som ligger spridd över flera kontrakt.

Enligt forskare från Google Threat Intelligence Group (GTIG) representerar EtherHiding ett “skifte mot nästa generations skottsäkra hosting”, där decentraliserade system används för att bygga ihållande, svårspårad infrastruktur.

Angriparna utnyttjar dessutom proxy-mönster, ett legitimt utvecklingssätt för att göra smarta kontrakt uppgraderingsbara.
I den kriminella varianten används mönstret för att dela upp koden i flera delar – så att en bakdörr kan uppdateras utan att hela kedjan behöver ändras.
Resultatet är en flexibel och långlivad C2-miljö (Command & Control), perfekt för både cyberkriminella och statsstödda operationer.

Nordkoreanska gruppen UNC5342 – JADESNOW och INVISIBLEFERRE

GTIG har nyligen avslöjat att den nordkoreanska hotaktören UNC5342 använder EtherHiding-tekniken för att leverera skadlig JavaScript-kod i flera steg.
Den första fasen – som Google kallar JADESNOW-nedladdaren – hämtar, dekrypterar och kör kod lagrad i smarta kontrakt på Ethereum och BNB Smart Chain.
Data som lagras i kontrakten är ofta Base64-kodad och XOR-krypterad, vilket gör den svår att upptäcka vid automatiska skanningar.

När den väl körts laddas nästa fas ner: INVISIBLEFERRET.JAVASCRIPT, en bakdörr som kan exekvera ytterligare nyttolaster och stjäla data som kryptoplånböcker, webbläsartillägg och lokalt sparade inloggningsuppgifter.
Koden i INVISIBLEFERRET är dessutom ibland uppdelad över flera kontrakt, vilket ger ytterligare komplexitet och motståndskraft mot analys.

Social engineering – falska jobb och “ClickFix”

UNC5342:s attacker kombineras med sofistikerad social engineering.
Gruppen är känd för att genomföra falska rekryteringskampanjer på LinkedIn och olika rekryteringssajter där mjukvaruutvecklare lockas med attraktiva jobberbjudanden.

När offren svarar flyttar angriparna konversationen till Discord eller Telegram och ber dem utföra ett “tekniskt test”.
Testet består i själva verket av att ladda ner en förgiftad kodbas från GitHub, vilket infekterar systemet.

I andra fall används ClickFix-kampanjer, där ett fejkmeddelande hävdar att ett program måste uppdateras eller repareras, och användaren uppmanas köra ett kommando lokalt.
Detta aktiverar den skadliga JavaScript-koden och startar hela infektionskedjan via blockkedjan.

UNC5142 – den kriminella föregångaren

Den cyberkriminella gruppen UNC5142 använde EtherHiding redan 2023 i samband med sina kampanjer mot WordPress-webbplatser.
De injicerade skadlig kod i plugins, teman och databaser, vilket resulterade i att besökare möttes av falska popup-fönster med texten:

“Din Google Chrome-version är föråldrad – uppdatera nu.”

Dessa attacker byggde på ramverket CLEARFAKE, senare uppgraderat till CLEARSHORT, som hämtade skadlig kod direkt från smarta kontrakt.
GTIG har spårat över 14 000 komprometterade sidor där UNC5142:s kod varit aktiv.

CLEARSHORT använder Web3.js, ett bibliotek som möjliggör kommunikation med Ethereum-noder via HTTP eller WebSocket.
Genom att ansluta till publika noder kan angriparna ladda ner, uppdatera och köra sina nyttolaster utan att använda traditionella servrar.

En decentraliserad infrastruktur för skadlig kod

Fördelarna för angriparna är uppenbara:

  • Blockkedjedata kan inte raderas eller ändras.
  • Infrastrukturkostnaderna är nästan noll, eftersom angriparna använder publika kedjor.
  • Kod kan distribueras globalt – varje nod i nätverket kan fungera som värd.
  • Identifiering via DNS-spårning eller IP-blockering blir meningslös.

Samtidigt blir försvararens utmaningar allt större.
De flesta säkerhetsverktyg är designade för att övervaka filsystem, e-post, nätverkstrafik och molnresurser – inte blockkedjeinteraktioner.
Det innebär att EtherHiding-attacker ofta passerar oupptäckta, särskilt i miljöer där utvecklare själva arbetar med smarta kontrakt och dApp-ramverk.

Så kan företag och myndigheter skydda sig

För att minska risken för denna typ av attacker rekommenderar GTIG och flera oberoende säkerhetsforskare följande åtgärder:

  • Övervaka anrop till blockchain-API:er och RPC-endpoints. Logga alla externa Web3-förfrågningar som inte är affärskritiska.
  • Inför strikta behörighetsnivåer så att användare inte kan köra obekräftade skript lokalt.
  • Skanna npm-paket, GitHub-arkiv och tredjepartsberoenden för att upptäcka skadlig kod.
  • Utbilda utvecklare och administratörer om hur social engineering fungerar – särskilt falska rekryteringsförsök.
  • Samarbeta med blockchain-leverantörer för snabb rapportering av skadliga kontrakt och nycklar.

Attacker som EtherHiding visar tydligt hur angripare förflyttar sig bort från traditionella sårbarheter och i stället utnyttjar själva grunden i den decentraliserade ekonomin – blockkedjeteknologin – som ett nytt verktyg för cyberbrott.

Share
Share
Pin it
Tweet
Share
Share
IT-BranschenavIT-Branschen
Publicerad

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
convendum-banner
Annons

LÄS MER