Cybertech Europe 2026 - IT-alan virallinen mediakumppani

Pohjois-Korean uhkatoimijat käyttävät lohkoketjuja haittaohjelmien piilottamiseen ja toimittamiseen – näin “EtherHiding” toimii”

Pohjois-Korean kyberhyökkäykset ja EtherHiding lohkoketjuissa – digitaalisen hakkeroinnin konsepti. Pohjois-Korean kyberhyökkäykset ja EtherHiding lohkoketjuissa – digitaalisen hakkeroinnin konsepti.
GTIG varoittaa: Pohjois-Korean toimijat käyttävät EtherHidingiä levittääkseen haittaohjelmia lohkoketjujen kautta.

Tutkijat varoittavat, että sekä valtion rahoittamat että rikolliset toimijat käyttävät nyt älykkäät sopimukset julkisissa lohkoketjuissa haitallisen koodin tallentamiseen ja levittämiseen – edistynyt teknologia nimeltä Eetterin piilottaminen.
Menetelmä vaikeuttaa huomattavasti turvallisuusyritysten ja lainvalvontaviranomaisten hyökkääjien infrastruktuurin seurantaa, estämistä tai sammuttamista, koska lohkoketjuteknologia on rakennettu hajautetuksi ja muuttumattomaksi.

Mikä on EtherHiding?

EtherHiding on hyökkäysmenetelmä, jossa hyökkääjät hyödyntävät älysopimuksia – lohkoketjuissa, kuten Ethereumissa tai BNB Smart Chainissa, toimivia ohjelmia – piilottaakseen haitallisen koodin ja ohjeet suoraan lohkoketjun datakenttiin.
Kun tietyt ehdot täyttyvät tai sopimusta pyydetään, se palauttaa haitallinen hyötykuorma joka ladataan ja suoritetaan uhrin tietokoneella.

https://www.youtube.com/watch?v=IHNiUcmrNmQ

Tämä tarkoittaa, että hyökkääjät ei enää tarvita keskitettyä palvelinta tai vaarantunutta verkkotunnusta, joka voidaan poistaa käytöstä, mikä tekee infrastruktuurista paljon tehokkaamman kestävä havaitsemiselle ja sammutukselle.
Teknologia perustuu lohkoketjun perusperiaatteisiin – läpinäkyvyyteen ja muuttumattomuudeseen – mutta sitä käytetään tässä täysin uuteen, haitalliseen tarkoitukseen.

  • Cybertech Europe 2026 -kyberturvallisuuskonferenssi Roomassa, jonka virallinen mediakumppani on IT-ala
    Cybertech Europe 2026 on yksi Euroopan johtavista kyberturvallisuuskonferensseista, joka kokoaa yhteen kyberturvallisuusalan johtajia, virkamiehiä, teknologiainnovaattoreita, startup-yrityksiä, sijoittajia ja yritysmaailman päätöksentekijöitä Roomassa. IT-ala toimii virallisena mediakumppanina, joka tarjoaa tapahtumaraportointia, johtajien haastatteluja, alan näkemyksiä ja kyberturvallisuusuutisia pohjoismaiselle ja eurooppalaiselle yleisölle.
    MAINOS

  • VORTIQ-X AI Governance auttaa yrityksiä muuttamaan tekoälyn hallittavaksi ja todennettavaksi liiketoiminta-arvoksi.
    VORTIQ-X on tekoälyyn perustuva hallintoalusta, joka auttaa organisaatioita hallitsemaan, varmentamaan ja luomaan mitattavaa liiketoiminta-arvoa tekoälyn avulla. Alusta keskittyy läpinäkyvyyteen, vaatimustenmukaisuuteen, tekoälyn hallintaan ja tekoälyn tehokkaaseen käyttöön kriittisissä prosesseissa.
    MAINOS

  • Pohjoismainen IT-alan teknologiamedia-alusta, joka kattaa kyberturvallisuuden, pilvipalvelut, tekoälyn, digitaalisen transformaation, kanavat, hallinnoidun palveluntarjoajan (MSP) ja yritysten IT-uutiset.
    IT-ala on johtava pohjoismainen teknologiamedia-alusta, joka kattaa kyberturvallisuusuutisia, tekoälyä, pilvipalveluita, yritysten IT-palveluita, digitaalista transformaatiota, hallinnoituja palveluita, kanavakumppaneita, ohjelmistokehitystä, televiestintää, datakeskuksia, IT-infrastruktuuria, teknologiajohtajuutta, liiketoiminnan innovaatioita ja uusia teknologioita. Johdon haastattelujen, toimiala-analyysien, tapahtumaraportoinnin, ajatusjohtajuuden, tuotelanseerausten, toimittajien päivitysten ja markkinanäkemysten avulla IT-ala yhdistää teknologiapäättäjiä, tietohallintojohtajia, teknologiajohtajia, IT-päälliköitä, MSP-palveluntarjoajia, jälleenmyyjiä, jakelijoita, teknologiatoimittajia, startup-yrityksiä ja suuryrityksiä Ruotsissa, Norjassa, Tanskassa, Suomessa ja Euroopassa. Kattavuutta ovat mm. kyberturvallisuustrendit, tekoälyn käyttöönotto, pilvistrategia, yritysohjelmistot, verkostoituminen, digitaalinen infrastruktuuri, kestävä kehitys, vaatimustenmukaisuus, hallintotapa, riskienhallinta, automaatio, data-analytiikka ja tulevaisuuden teknologiakehitys.
    OMA SISÄLTÖ

  • Maciek Szczesniak esiintyi IT-Branschen Wire Channel Magic Chats -podcast-bannerissa
    Maciek Szczesniak esiintyy IT-Branschen Wire Channel Magic Chats -ohjelmassa, jossa hän keskustelee johtajuudesta, innovaatioista, digitaalisesta transformaatiosta ja yrityspalveluista.
    SPONSOROITU

Uusi askel kyberaseiden kilpavarustelussa

Kyberpuolustajat ovat pitkään luottaneet IP-osoitteiden estämiseen, verkkotunnusten sulkemiseen ja palvelinsisällön poistamiseen havaittuaan hyökkäyksiä.
EtherHidingin avulla tästä tulee käytännössä mahdotonta. Sisältö pysyy lohkoketjussa ikuisesti, ja joka kerta, kun älysopimus suoritetaan, se voi aktivoi koodi, joka on jaettu useille sopimuksille.

Tutkijoiden mukaan Googlen uhkatiedusteluryhmä (GTIG) EtherHiding edustaa "siirtymää kohti seuraavan sukupolven luodinkestävää hostingia", jossa hajautettuja järjestelmiä käytetään rakentamaan pysyvä, vaikeasti tavoitettava infrastruktuuri.

Hyökkääjät hyödyntävät myös välityspalvelinmalli, laillinen kehitystapa älysopimusten päivitettävyyden parantamiseksi.
Rikollisessa variantissa kuviota käytetään jakamiseen koodi useassa osassa – jotta takaovi voidaan päivittää ilman, että koko ketjua tarvitsee muuttaa.
Tuloksena on joustava ja pitkäikäinen C2-ympäristö (Command & Control), täydellinen sekä kyberrikollisuuteen että valtion tukemiin operaatioihin.

Pohjois-korealainen ryhmä UNC5342 – JADESNOW ja INVISIBLEFERRE

GTIG on äskettäin paljastanut, että Pohjois-Korean uhkatoimija UNC5342 käyttää EtherHiding-teknologiaa haitallisen JavaScript-koodin toimittamiseen useissa vaiheissa.
Ensimmäinen vaihe – kuten Google sitä kutsuu JADESNOW-latausohjelma – hakee, purkaa ja suorittaa Ethereumin ja BNB Smart Chainin älysopimuksiin tallennetun koodin.
Sopimuksiin tallennetut tiedot ovat usein Base64-koodattu ja XOR-salattu, mikä tekee sen havaitsemisesta automaattisten skannausten aikana vaikeaa.

Kun se on ajettu lastaus seuraava vaihe alaspäin: INVISIBLEFERRET.JAVASCRIPT, takaportti, joka voi suorittaa lisähyötykuormia ja varastaa tietoja, kuten kryptolompakoita, selainlaajennuksia ja paikallisesti tallennettuja kirjautumistietoja.
Lisäksi INVISIBLEFERRET-koodi on joskus jaettu useisiin sopimuksiin, mikä lisää monimutkaisuutta ja vaikeuttaa analysointia entisestään.

Sosiaalinen manipulointi – valetyöpaikat ja “ClickFix”

UNC5342:t hyökkäykset yhdistetään hienostunut sosiaalinen manipulointi.
Ryhmä tunnetaan siitä, että se suorittaa tekaistut rekrytointikampanjat LinkedInissä ja erilaisia rekrytointisivustoja, jotka houkuttelevat ohjelmistokehittäjiä houkuttelevilla työtarjouksilla.

Kun uhrit vastaavat, hyökkääjät siirtävät keskustelun seuraavaan aiheeseen: Discord tai Telegram ja pyytää heitä suorittamaan "teknisen testin".
Testi koostuu itse asiassa myrkytetyn koodikannan lataamisesta GitHubista, joka tartuttaa järjestelmän.

Muissa tapauksissa sitä käytetään ClickFix-kampanjat, jossa tekaistu viesti väittää, että ohjelma on päivitettävä tai korjattava, ja kehottaa käyttäjää suorittamaan komennon paikallisesti.
Tämä aktivoi haitallisen JavaScript-koodin ja käynnistää koko tartuntaketjun lohkoketjun kautta.

UNC5142 – rikollinen edeltäjä

The kyberrikollisryhmä UNC5142 käytetty EtherHiding jo vuonna 2023 kampanjoidensa yhteydessä WordPress-verkkosivustot.
He ruiskuttivat haitallista koodia lisäosiin, teemoihin ja tietokantoihin, minkä seurauksena kävijöitä tervehdittiin tekaistuilla ponnahdusikkunoilla, joissa oli teksti:

“"Google Chromen versiosi on vanhentunut – päivitä nyt."”

Nämä hyökkäykset rakennettiin kehyksen päälle CLEARFAKE, myöhemmin päivitetty muotoon KIRKKÄÄT SHORTSIT, joka latasi haittaohjelmia suoraan älysopimuksista.
GTIG on ylittänyt odotukset 14 000 vaarantunutta sivua jossa UNC5142:n koodi on ollut aktiivinen.

CLEARSHORTin käyttötarkoitukset Web3.js, kirjasto, joka mahdollistaa kommunikoinnin Ethereum-solmujen kanssa HTTP:n tai WebSocketin kautta.
Yhdistämällä kohteeseen julkiset solmut, hyökkääjät voivat ladata ladata, päivittää ja suorittaa hyötykuormiaan ilman perinteisiä palvelimia.

Hajautettu haittaohjelmainfrastruktuuri

Hyökkääjien edut ovat ilmeiset:

  • Lohkoketjudata voi ei poistettu tai muutettu.
  • Infrastruktuurikustannukset ovat lähes nolla, koska hyökkääjät käyttävät julkisia ketjuja.
  • Koodia voidaan jakaa globaalisti – jokainen verkon solmu voi toimia isäntänä.
  • DNS-seurannan tai IP-osoitteiden estämisen avulla tunnistaminen muuttuu merkityksettömäksi.

Samaan aikaan puolustajan haasteet kasvavat.
Useimmat tietoturvatyökalut on suunniteltu valvomaan tiedostojärjestelmiä, sähköpostia, verkkoliikennettä ja pilviresursseja – eivät lohkoketjujen vuorovaikutusta.
Tämä tarkoittaa, että EtherHiding-hyökkäykset jäävät usein huomaamatta, erityisesti ympäristöissä, joissa kehittäjät itse työskentelevät älysopimusten ja dApp-kehysten kanssa.

Miten yritykset ja viranomaiset voivat suojella itseään

Vähentää tämän tyyppisen hyökkäyksen riski GTIG ja useat riippumattomat tietoturvatutkijat suosittelevat seuraavia toimenpiteitä:

  • Valvo lohkoketjun API-rajapintoihin ja RPC-päätepisteisiin tehtäviä kutsuja. Kirjaa lokiin kaikki ulkoiset Web3-pyynnöt, jotka eivät ole liiketoimintakriittisiä.
  • Ota käyttöön tiukat käyttöoikeustasot jotta käyttäjät eivät voi suorittaa vahvistamattomia komentosarjoja paikallisesti.
  • Skannaa npm-paketit, GitHub-arkistot ja kolmannen osapuolen riippuvuudet haitallisen koodin havaitsemiseksi.
  • Kouluttaa kehittäjiä ja ylläpitäjiä siitä, miten sosiaalinen manipulointi toimii – erityisesti väärennetyistä rekrytointiyrityksistä.
  • Tee yhteistyötä lohkoketjun tarjoajien kanssa haitallisten sopimusten ja avainten nopeaa raportointia varten.

EtherHidingin kaltaiset hyökkäykset osoittavat selvästi, kuinka hyökkääjät ovat siirtymässä pois perinteisistä haavoittuvuuksista ja sen sijaan... hyväksikäytöt hajautetun talouden perusta – lohkoketjuteknologia – uutena kyberrikollisuuden välineenä.

Pysy ajan tasalla tärkeimmistä uutisista

Painamalla Tilaa-painiketta vahvistat, että olet lukenut ja hyväksyt ehdot tietosuojakäytäntö ja käyttöehdot
  • VORTIQ-X AI Governance auttaa yrityksiä muuttamaan tekoälyn hallittavaksi ja todennettavaksi liiketoiminta-arvoksi.
    VORTIQ-X on tekoälyyn perustuva hallintoalusta, joka auttaa organisaatioita hallitsemaan, varmentamaan ja luomaan mitattavaa liiketoiminta-arvoa tekoälyn avulla. Alusta keskittyy läpinäkyvyyteen, vaatimustenmukaisuuteen, tekoälyn hallintaan ja tekoälyn tehokkaaseen käyttöön kriittisissä prosesseissa.
    MAINOS

  • Maciek Szczesniak esiintyi IT-Branschen Wire Channel Magic Chats -podcast-bannerissa
    Maciek Szczesniak esiintyy IT-Branschen Wire Channel Magic Chats -ohjelmassa, jossa hän keskustelee johtajuudesta, innovaatioista, digitaalisesta transformaatiosta ja yrityspalveluista.
    SPONSOROITU

  • Pohjoismainen IT-alan teknologiamedia-alusta, joka kattaa kyberturvallisuuden, pilvipalvelut, tekoälyn, digitaalisen transformaation, kanavat, hallinnoidun palveluntarjoajan (MSP) ja yritysten IT-uutiset.
    IT-ala on johtava pohjoismainen teknologiamedia-alusta, joka kattaa kyberturvallisuusuutisia, tekoälyä, pilvipalveluita, yritysten IT-palveluita, digitaalista transformaatiota, hallinnoituja palveluita, kanavakumppaneita, ohjelmistokehitystä, televiestintää, datakeskuksia, IT-infrastruktuuria, teknologiajohtajuutta, liiketoiminnan innovaatioita ja uusia teknologioita. Johdon haastattelujen, toimiala-analyysien, tapahtumaraportoinnin, ajatusjohtajuuden, tuotelanseerausten, toimittajien päivitysten ja markkinanäkemysten avulla IT-ala yhdistää teknologiapäättäjiä, tietohallintojohtajia, teknologiajohtajia, IT-päälliköitä, MSP-palveluntarjoajia, jälleenmyyjiä, jakelijoita, teknologiatoimittajia, startup-yrityksiä ja suuryrityksiä Ruotsissa, Norjassa, Tanskassa, Suomessa ja Euroopassa. Kattavuutta ovat mm. kyberturvallisuustrendit, tekoälyn käyttöönotto, pilvistrategia, yritysohjelmistot, verkostoituminen, digitaalinen infrastruktuuri, kestävä kehitys, vaatimustenmukaisuus, hallintotapa, riskienhallinta, automaatio, data-analytiikka ja tulevaisuuden teknologiakehitys.
    OMA SISÄLTÖ

  • Cybertech Europe 2026 -kyberturvallisuuskonferenssi Roomassa, jonka virallinen mediakumppani on IT-ala
    Cybertech Europe 2026 on yksi Euroopan johtavista kyberturvallisuuskonferensseista, joka kokoaa yhteen kyberturvallisuusalan johtajia, virkamiehiä, teknologiainnovaattoreita, startup-yrityksiä, sijoittajia ja yritysmaailman päätöksentekijöitä Roomassa. IT-ala toimii virallisena mediakumppanina, joka tarjoaa tapahtumaraportointia, johtajien haastatteluja, alan näkemyksiä ja kyberturvallisuusuutisia pohjoismaiselle ja eurooppalaiselle yleisölle.
    MAINOS