Em resumo
- Pesquisadores do Google Threat Intelligence Group descobriram hackers norte-coreanos usando malware EtherHiding.
- EtherHiding permite a entrega de malware furtivo e não rastreável por meio de contratos inteligentes.
- Os hackers do regime roubaram mais de US$ 2 bilhões até agora, somente em 2025, a maior parte devido à violação da exchange Bybit.
O Threat Intelligence Group do Google alertou que a Coreia do Norte está usando EtherHiding – um malware que se esconde em blockchain contratos inteligentes e permite o roubo de criptomoedas – em suas operações de hacking cibernético, já que 2025 parece destinado a ser um ano recorde para roubos de criptomoedas por parte do estado desonesto.
Embora os pesquisadores do Google tenham dito que o EtherHiding tem sido usado por agentes de ameaças com motivação financeira que abusam blockchain para distribuir infostealers desde pelo menos setembro de 2023, esta é a primeira vez que observam a sua utilização por um estado-nação. O malware é particularmente resistente aos métodos convencionais de remoção e bloqueio.
“EtherHiding apresenta novos desafios, já que as campanhas tradicionais geralmente são interrompidas pelo bloqueio de domínios e IPs conhecidos”, disseram os pesquisadores em uma postagem no blog, destacando os contratos inteligentes em Cadeia Inteligente BNB e Ethereum como hospedeiro de código malicioso. Os autores de malware poderiam “aproveitar o blockchain para realizar outros estágios de propagação de malware, uma vez que os contratos inteligentes operam de forma autônoma e não podem ser encerrados”, acrescentaram.
Embora os pesquisadores de segurança possam alertar a comunidade marcando um contrato como malicioso nos scanners oficiais de blockchain, eles observaram que “atividades maliciosas ainda podem ser realizadas”.
A ameaça de hacking norte-coreana
Hackers norte-coreanos roubaram mais de US$ 2 bilhões até agora neste ano, a maior parte proveniente do ataque de US$ 1,46 bilhão à exchange de criptomoedas Bybit em fevereiro, de acordo com um relatório de outubro da empresa de análise de blockchain Elliptic.
A RPDC também foi responsabilizada por ataques a LND.fi, WOO X e Seedify, bem como a trinta outros hacks, elevando o montante total roubado pelo país até à data para mais de 6 mil milhões de dólares. Estes fundos, segundo agências de inteligência, ajudam a financiar os programas de armas nucleares e mísseis do país.
Obtida através de uma combinação de engenharia social, implantação de malware e espionagem cibernética sofisticada, a Coreia do Norte desenvolveu uma combinação de táticas para obter acesso aos sistemas financeiros ou aos dados sensíveis das empresas. O regime provou estar disposto a fazer tudo o que puder para o fazer, incluindo a criação de empresas falsas e a atacar os promotores com ofertas de emprego falsas.
Casos relatados a Descriptografar também mostram que grupos de hackers norte-coreanos agora estão contratando não-coreanos para usá-los como fachadas e ajudá-los a passar em entrevistas para conseguir empregos em empresas de tecnologia e criptografia, à medida que os empregadores ficam mais cautelosos com os norte-coreanos que se passam por pessoas de outros lugares para entrevistas. Os invasores também podem atrair as vítimas para videoconferências ou gravações falsas de podcast em plataformas que exibem mensagens de erro ou solicitam downloads de atualizações que contêm código malicioso.
Os hackers norte-coreanos também atacaram a infraestrutura convencional da web, enviando mais de 300 pacotes de código malicioso para o registro npmum repositório de software de código aberto usado por milhões de desenvolvedores para compartilhar e instalar software JavaScript.
Como funciona o EtherHiding?
O último pivô da Coreia do Norte para incluir EtherHiding em seu arsenal remonta a fevereiro de 2025, e desde então o Google disse que rastreou UNC5342 – um ator de ameaça norte-coreano ligado ao grupo de hackers do país, FamousChollima – incorporando EtherHiding em sua campanha de engenharia social Entrevista Contagiosa.
O uso do malware EtherHiding envolve a incorporação de código malicioso nos contratos inteligentes de blockchains públicos e, em seguida, direcionar os usuários através de sites WordPress injetados com um pequeno pedaço de código JavaScript.
“Quando um usuário visita o site comprometido, o script do carregador é executado em seu navegador”, explicaram os pesquisadores do Google. “Esse script então se comunica com o blockchain para recuperar a principal carga maliciosa armazenada em um servidor remoto.”
Eles acrescentaram que o malware implanta uma chamada de função somente leitura (como eth_call), que não cria uma transação no blockchain. “Isso garante que a recuperação do malware seja furtiva e evita taxas de transação (ou seja, taxas de gás)”, observaram. “Uma vez obtida, a carga maliciosa é executada no computador da vítima. Isso pode levar a várias atividades maliciosas, como a exibição de páginas de login falsas, a instalação de malware para roubo de informações ou a implantação de ransomware.”
Os pesquisadores alertaram que isso “ressalta a evolução contínua” das táticas dos cibercriminosos. “Em essência, o EtherHiding representa uma mudança em direção à hospedagem à prova de balas de próxima geração, onde os recursos inerentes da tecnologia blockchain são reaproveitados para fins maliciosos.”
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
