Cybertech Europe 2026 - Officiële mediapartner van de IT-industrie
Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Neem contact met ons op

Noord-Koreaanse dreigingsactoren gebruiken blockchains om malware te verbergen en te verspreiden – zo werkt “EtherHiding”

Noord-Koreaanse cyberaanvallen en EtherHiding op blockchains – digitaal hackconcept. Noord-Koreaanse cyberaanvallen en EtherHiding op blockchains – digitaal hackconcept.
GTIG waarschuwt: Noord-Koreaanse actoren gebruiken EtherHiding om malware te verspreiden via blockchains.

Onderzoekers waarschuwen dat zowel door de staat gefinancierde als criminele actoren nu gebruik maken van slimme contracten op openbare blockchains om kwaadaardige code op te slaan en te verspreiden – een geavanceerde technologie genaamd Etherverbergen.
Deze methode maakt het voor beveiligingsbedrijven en wetshandhavingsinstanties aanzienlijk moeilijker om de infrastructuur van aanvallers te volgen, blokkeren of uit te schakelen, omdat blockchaintechnologie is ontworpen om gedecentraliseerd en onveranderlijk te zijn.

Wat is EtherHiding?

EtherHiding is een aanvalsmethode waarbij aanvallers gebruikmaken van slimme contracten – programma's die op blockchains draaien, zoals Ethereum of BNB Smart Chain – om schadelijke code en instructies rechtstreeks in de gegevensvelden van de blockchain te verbergen.
Wanneer aan specifieke voorwaarden wordt voldaan of het contract wordt ingeroepen, retourneert het een schadelijke lading die wordt gedownload en uitgevoerd op de computer van het slachtoffer.

https://www.youtube.com/watch?v=IHNiUcmrNmQ

Dit betekent dat de aanvallers geen centrale server of gecompromitteerd domein meer nodig dat kan worden uitgeschakeld, waardoor de infrastructuur veel veiliger wordt bestand tegen detectie en uitschakeling.
De technologie is gebaseerd op de basisprincipes van blockchain – transparantie en onveranderlijkheid – maar wordt hier gebruikt voor een compleet nieuw, kwaadaardig doel.

  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE

  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

Een nieuwe stap in de cyberwapenwedloop

Cyberverdedigers vertrouwen al lang op het blokkeren van IP-adressen, het uitschakelen van domeinen en het verwijderen van serverinhoud wanneer er aanvallen worden gedetecteerd.
Met EtherHiding wordt dit praktisch onmogelijk. De content blijft voor altijd op de blockchain staan en elke keer dat een smart contract wordt uitgevoerd, kan het activeer code die verspreid is over meerdere contracten.

Volgens onderzoekers van Google Threat Intelligence Group (GTIG) EtherHiding vertegenwoordigt een “verschuiving naar een kogelvrije hosting van de volgende generatie”, waarbij gedecentraliseerde systemen worden gebruikt om aanhoudende, ongrijpbare infrastructuur.

De aanvallers maken ook misbruik van proxypatroon, een legitieme ontwikkelingsbenadering om slimme contracten upgradebaar te maken.
In de criminele variant wordt het patroon gebruikt om te verdelen de code in verschillende delen – zodat een backdoor bijgewerkt kan worden zonder dat de hele keten aangepast hoeft te worden.
Het resultaat is een flexibele en duurzame C2 (Command & Control)-omgeving, ideaal voor zowel cybercriminele als door de staat gesponsorde operaties.

Noord-Koreaanse groep UNC5342 – JADESNOW en INVISIBLEFERRE

GTIG heeft onlangs onthuld dat de Noord-Koreaanse dreigingsactor UNC5342 maakt gebruik van EtherHiding-technologie om schadelijke JavaScript-code in meerdere fasen te verspreiden.
De eerste fase – zoals Google het noemt De JADESNOW-downloader – haalt code op, decodeert en voert deze uit die is opgeslagen in slimme contracten op Ethereum en BNB Smart Chain.
Gegevens die in contracten zijn opgeslagen, worden vaak Base64 gecodeerd en XOR gecodeerd, waardoor het lastig is om het te detecteren tijdens automatische scans.

Als het eenmaal is uitgevoerd laden volgende fase: ONZICHTBARE FERT.JAVASCRIPT, een backdoor die extra payloads kan uitvoeren en gegevens kan stelen, zoals crypto wallets, browserextensies en lokaal opgeslagen inloggegevens.
Bovendien is de code in INVISIBLEFERRET soms verspreid over meerdere contracten, wat de complexiteit en de weerstand bij de analyse vergroot.

Social engineering – nep-banen en “ClickFix”

UNC5342's aanvallen worden gecombineerd met geavanceerde sociale engineering.
De groep staat bekend om het uitvoeren van nep-wervingscampagnes op LinkedIn en diverse wervingswebsites waar softwareontwikkelaars worden aangetrokken met aantrekkelijke baanaanbiedingen.

Wanneer slachtoffers reageren, verplaatsen aanvallers het gesprek naar Discord of Telegram en vraagt hen een “technische test” uit te voeren.
De test bestaat feitelijk uit het downloaden van een vergiftigde codebase van GitHub, die het systeem infecteert.

In andere gevallen wordt het gebruikt ClickFix-campagnes, waarbij een nepbericht beweert dat een programma moet worden bijgewerkt of gerepareerd, en de gebruiker vraagt om lokaal een opdracht uit te voeren.
Hierdoor wordt de schadelijke JavaScript-code geactiveerd en start de volledige infectieketen via de blockchain.

UNC5142 – de criminele voorganger

De cybercriminele groep UNC5142 gebruikt EtherHiding al in 2023 in verband met haar campagnes tegen WordPress-websites.
Ze injecteerden schadelijke code in plugins, thema's en databases, waardoor bezoekers werden begroet met nep-pop-ups met de tekst:

“Uw Google Chrome-versie is verouderd – voer nu een update uit.”

Deze aanvallen waren gebaseerd op het raamwerk ClearFake, later geüpgraded naar DUIDELIJKE KORTE BROEKEN, die malware rechtstreeks van slimme contracten downloadden.
GTIG heeft zijn grenzen overschreden 14.000 gecompromitteerde pagina's waar de code van UNC5142 actief is geweest.

CLEARSHORT gebruikt Web3.js, een bibliotheek die communicatie met Ethereum-knooppunten via HTTP of WebSocket mogelijk maakt.
Door verbinding te maken met openbare knooppunten, aanvallers kunnen laden hun payloads downloaden, bijwerken en uitvoeren zonder gebruik te maken van traditionele servers.

Een gedecentraliseerde malware-infrastructuur

De voordelen voor aanvallers zijn duidelijk:

  • Blockchain-gegevens kunnen niet verwijderd of gewijzigd.
  • De infrastructuurkosten zijn vrijwel nihil, omdat aanvallers gebruikmaken van openbare ketens.
  • Code kan wereldwijd worden gedistribueerd: elk knooppunt in het netwerk kan als host fungeren.
  • Identificatie via DNS-tracking of IP-blokkering verliest zijn betekenis.

Tegelijkertijd worden de uitdagingen voor de verdediger steeds groter.
De meeste beveiligingstools zijn ontworpen om bestandssystemen, e-mail, netwerkverkeer en cloudbronnen te bewaken, niet blockchain-interacties.
Dit betekent dat EtherHiding-aanvallen blijven vaak onopgemerkt, vooral in omgevingen waar ontwikkelaars zelf met smart contracts en dApp-frameworks werken.

Hoe bedrijven en overheden zichzelf kunnen beschermen

Om te verminderen het risico van dit soort aanvallen GTIG en verschillende onafhankelijke veiligheidsonderzoekers bevelen de volgende maatregelen aan:

  • Controleer oproepen naar blockchain-API's en RPC-eindpunten. Registreer alle externe Web3-verzoeken die niet bedrijfskritisch zijn.
  • Strikte toestemmingsniveaus invoeren zodat gebruikers lokaal geen onbevestigde scripts kunnen uitvoeren.
  • Scan npm-pakketten, GitHub-repositories en afhankelijkheden van derden om schadelijke code te detecteren.
  • Train ontwikkelaars en beheerders over hoe social engineering werkt, met name nep-wervingspogingen.
  • Samenwerken met blockchain-aanbieders voor snelle melding van kwaadaardige contracten en sleutels.

Aanvallen zoals EtherHiding laten duidelijk zien hoe aanvallers afstappen van traditionele kwetsbaarheden en in plaats daarvan heldendaden de basis van de gedecentraliseerde economie – blockchaintechnologie – als nieuw instrument voor cybercriminaliteit.

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE

  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD