Forskere advarer om at både statsfinansierte og kriminelle aktører nå bruker smarte kontrakter på offentlige blokkjeder for å lagre og distribuere ondsinnet kode – en avansert teknologi kalt EtherSkjuling.
Metoden gjør det betydelig vanskeligere for sikkerhetsselskaper og politimyndigheter å spore, blokkere eller stenge ned angripernes infrastruktur, ettersom blokkjedeteknologi er bygget for å være desentralisert og uforanderlig.
Hva er EtherHiding?
EtherHiding er en angrepsmetode der angripere utnytter smarte kontrakter – programmer som kjører på blokkjeder som Ethereum eller BNB Smart Chain – for å skjule ondsinnet kode og instruksjoner direkte i blokkjedens datafelt.
Når spesifikke betingelser er oppfylt eller kontrakten påberopes, returnerer den en skadelig nyttelast som lastes ned og kjøres på offerets datamaskin.
Dette betyr at angriperne trenger ikke lenger en sentral server eller et kompromittert domene som kan tas ned, noe som gjør infrastrukturen mye mer motstandsdyktig mot deteksjon og nedstengning.
Teknologien er basert på de grunnleggende prinsippene i blokkjede – gjennomsiktighet og uforanderlighet. – men brukes her for et helt nytt, skadelig formål.
Et nytt steg i cybervåpenkappløpet
Cyberforsvarere har lenge vært avhengige av å blokkere IP-adresser, stenge domener og slette serverinnhold når angrep oppdages.
Med EtherHiding blir dette praktisk talt umulig. Innholdet forblir på blokkjeden for alltid, og hver gang en smartkontrakt utføres, kan den aktiveringskode som er spredt over flere kontrakter.
Ifølge forskere fra Googles trusselintelligensgruppe (GTIG) EtherHiding representerer et “skifte mot neste generasjons skuddsikker hosting”, der desentraliserte systemer brukes til å bygge vedvarende, unnvikende infrastruktur.
Angriperne utnytter også proxy-mønster, en legitim utviklingstilnærming for å gjøre smarte kontrakter oppgraderbare.
I den kriminelle varianten brukes mønsteret til å dele koden i flere deler – slik at en bakdør kan oppdateres uten at hele kjeden trenger å endres.
Resultatet er en fleksibelt og langvarig C2 (kommando og kontroll) miljø, perfekt for både nettkriminelle og statsstøttede operasjoner.
Nordkoreansk gruppe UNC5342 – JADESNOW og INVISIBLEFERRE
GTIG har nylig avslørt at Nordkoreansk trusselaktør UNC5342 bruker EtherHiding-teknologi til å levere ondsinnet JavaScript-kode i flere trinn.
Den første fasen – som Google kaller det JADESNOW-nedlasteren – henter, dekrypterer og utfører kode lagret i smarte kontrakter på Ethereum og BNB Smart Chain.
Data lagret i kontrakter er ofte Base64-kodet og XOR-kryptert, noe som gjør det vanskelig å oppdage under automatiske skanninger.
Når den er kjørt lasting neste fase ned: INVISIBLEFERRET.JAVASCRIPT, en bakdør som kan kjøre ytterligere nyttelaster og stjele data som kryptolommebøker, nettleserutvidelser og lokalt lagrede påloggingsinformasjon.
I tillegg er koden i INVISIBLEFERRET noen ganger delt på flere kontrakter, noe som gir ytterligere kompleksitet og motstand mot analyse.
Sosial manipulering – falske jobber og “ClickFix”
UNC5342-er angrepene kombineres med sofistikert sosial manipulering.
Gruppen er kjent for å gjennomføre falske rekrutteringskampanjer på LinkedIn og diverse rekrutteringssider der programvareutviklere tiltrekkes med attraktive jobbtilbud.
Når ofrene svarer, flytter angriperne samtalen til Discord eller Telegram og ber dem om å utføre en “teknisk test”.
Testen består faktisk av å laste ned en forgiftet kodebase fra GitHub, som infiserer systemet.
I andre tilfeller brukes den ClickFix-kampanjer, der en falsk melding hevder at et program må oppdateres eller repareres, og ber brukeren om å kjøre en kommando lokalt.
Dette aktiverer den ondsinnede JavaScript-koden og starter hele infeksjonskjeden via blokkjeden.
UNC5142 – den kriminelle forgjengeren
De nettkriminell gruppe UNC5142 brukt EtherHiding allerede i 2023 i forbindelse med sine kampanjer mot WordPress-nettsteder.
De injiserte ondsinnet kode i pluginer, temaer og databaser, noe som resulterte i at besøkende ble møtt med falske popup-vinduer med teksten:
“Google Chrome-versjonen din er utdatert – oppdater nå.”
Disse angrepene ble bygget på rammeverket CLEARFAKE, senere oppgradert til KLARE SHORTS, som lastet ned skadelig programvare direkte fra smarte kontrakter.
GTIG har overgått 14 000 kompromitterte sider der UNC5142s kode har vært aktiv.
CLEARSHORT bruker Web3.js, et bibliotek som muliggjør kommunikasjon med Ethereum-noder via HTTP eller WebSocket.
Ved å koble til offentlige noder, angripere kan laste laste ned, oppdatere og kjøre nyttelastene sine uten å bruke tradisjonelle servere.
En desentralisert infrastruktur for skadelig programvare
Fordelene for angriperne er åpenbare:
- Blokkjededata kan ikke slettet eller endret.
- Infrastrukturkostnadene er nesten null, ettersom angripere bruker offentlige kjeder.
- Kode kan distribueres globalt – hver node i nettverket kan fungere som en vert.
- Identifikasjon via DNS-sporing eller IP-blokkering blir meningsløs.
Samtidig blir forsvarerens utfordringer større.
De fleste sikkerhetsverktøy er utviklet for å overvåke filsystemer, e-post, nettverkstrafikk og skyressurser – ikke blokkjedeinteraksjoner.
Dette betyr at EtherHiding-angrep går ofte uoppdaget hen, spesielt i miljøer der utviklere selv jobber med smarte kontrakter og dApp-rammeverk.
Hvordan bedrifter og myndigheter kan beskytte seg selv
Å redusere risikoen for denne typen angrep GTIG og flere uavhengige sikkerhetsforskere anbefaler følgende tiltak:
- Overvåk kall til blokkjede-API-er og RPC-endepunkter. Logg alle eksterne Web3-forespørsler som ikke er forretningskritiske.
- Innfør strenge tillatelsesnivåer slik at brukere ikke kan kjøre ubekreftede skript lokalt.
- Skann npm-pakker, GitHub-repositorier og tredjepartsavhengigheter for å oppdage ondsinnet kode.
- Opplære utviklere og administratorer om hvordan sosial manipulering fungerer – spesielt falske rekrutteringsforsøk.
- Samarbeid med blokkjedeleverandører for rask rapportering av ondsinnede kontrakter og nøkler.
Angrep som EtherHiding viser tydelig hvordan angripere beveger seg bort fra tradisjonelle sårbarheter og i stedet utnyttelser selve grunnlaget for den desentraliserte økonomien – blokkjedeteknologi – som et nytt verktøy for nettkriminalitet.
Swedish
Danish
Norwegian
Finnish
English
German
Dutch