至少有两个不同的黑客组织,其中包括 与朝鲜国家有联系的演员 和一个 出于经济动机的犯罪集团根据谷歌威胁情报小组的研究,正在利用公共区块链来隐藏和管理恶意软件。这种方法使他们的行动对传统的拆除工作具有很强的抵抗力。研究人员将这项技术命名为 EtherHiding,它通过在公共区块链上的智能合约中嵌入指令,而不是依赖传统的命令和控制服务器,从根本上改变了攻击者管理和部署恶意代码的方式。这种方法利用区块链技术的去中心化和不可变的特性来创建研究所描述的“防弹”基础设施。谷歌云旗下 Mandiant 的咨询主管罗伯特·华莱士 (Robert Wallace) 将这一发展描述为“威胁形势的升级”。他指出,黑客已经开发出一种“能够抵抗执法部门打击”的方法,并且可以“轻松修改以适应新的活动”。区块链的核心设计确保数据一旦被记录,就无法被更改或删除,从而为攻击者提供了一个持久且可靠的操作平台,该平台不受针对集中式服务器的典型删除程序的影响。 EtherHiding 首次在 2023 年的 ClearFake 活动中被观察到,其中出于经济动机的网络犯罪分子使用虚假的浏览器更新提示来引诱受害者。基本概念涉及在区块链交易或更常见的智能合约中存储恶意代码或命令。然后,攻击者使用对区块链的只读调用来检索此信息。由于这些调用不会写入新数据或转移资产,因此它们不会在公共分类账上创建可见交易。这种隐秘性使得恶意软件能够接收指令,而不会为安全分析人员留下明显的踪迹。因此,防御者不能依赖传统的妥协指标,例如恶意域或 IP 地址,而这些指标是传统威胁检测和阻止的核心。该报告指出,只要区块链保持运行,“恶意代码就仍然可以访问”。研究人员发现,这两个组织针对不同的目标采用了 EtherHiding。这个朝鲜附属组织(编号为 UNC5342)将该技术融入复杂的社会工程活动中,旨在渗透开发商和加密货币公司的网络。相比之下,经济驱动的组织 UNC5142 利用 EtherHiding 通过危害大量 WordPress 网站来促进信息窃取恶意软件的广泛传播。朝鲜威胁组织 UNC5342 将 EtherHiding 技术整合到更广泛的行动中 帕洛阿尔托网络 以前被称为“传染性访谈”活动。该活动涉及社会工程策略,攻击者在 LinkedIn 和各种招聘网站等专业网站上冒充招聘人员。他们向软件开发人员提供虚假公司的欺诈性工作机会,其中“BlockNovas LLC”和“Angeloper Agency”是使用虚假公司名称的两个例子。攻击者的目标是在将目标转移到下一阶段之前与目标建立融洽的关系。在建立初步联系后,UNC5342 背后的攻击者将引诱目标开发人员对 Telegram 和 Discord 等加密消息应用程序进行分阶段采访。在技术评估或编码挑战期间,受害者被指示从 GitHub 或 npm 上的公共存储库下载并执行文件。这些文件声称是采访过程的一部分,但实际上包含恶意软件有效负载。此活动中发现的主要恶意软件系列是 JadeSnow(下载程序)和 InvisibleFerret(后门)。这两种恶意工具都被设计为使用 EtherHiding 进行命令和控制通信,连接到部署在以太坊和 BNB 智能链网络上的攻击者控制的智能合约以接收指令。 UNC5342发起的感染链是有条不紊的。 JadeSnow 下载程序是在受害者系统上执行的第一个组件。它被编程为查询区块链上的特定智能合约以获取加密的 JavaScript 有效负载。这些有效负载一旦解密,就会负责传递主要后门 InvisibleFerret。一旦 InvisibleFerret 恶意软件在受感染的计算机上安装并激活,它就会为攻击者提供广泛的功能。其中包括泄露敏感数据、捕获用户凭据以及对受感染系统进行远程控制的能力。在一些观察到的实例中,研究人员指出,InvisibleFerret 部署了一个额外的凭证窃取模块,专门针对网络浏览器和 MetaMask 和 Phantom 等流行的加密货币钱包而设计。通过这些活动窃取的数据随后会渗透到攻击者控制的服务器,并发送到私人 Telegram 频道。该活动对朝鲜政权有双重目的:通过盗窃加密货币产生非法收入,并从受感染的开发商及其雇主那里收集战略情报。在另一项调查中,Google Mandiant 详细介绍了 UNC5142 的活动,UNC5142 是一个出于经济动机的威胁行为者,也依赖 EtherHiding。该组织的主要目标是感染大量网站以分发各种信息窃取恶意软件系列。该组织的方法包括破坏存在安全漏洞的 WordPress 网站,并向其注入恶意 JavaScript 下载程序,这些下载程序统称为 ClearShort。这些脚本旨在使用 BNB 智能链上的智能合约作为弹性控制层,获取第二阶段的有效负载或将受害者重定向到攻击者托管的登陆页面。 UNC5142 的运营基础设施因其广泛使用合法服务来掩盖其恶意活动而闻名。该组织将其恶意登陆页面托管在 Cloudflare 的 Pages.dev 服务上,使流量显得更加合法,而核心命令和控制信息则存储在区块链上。到 2025 年中期,Google 团队已在大约 14,000 个不同网站上发现了 UNC5142 注入脚本的痕迹。该组织的架构也不断发展,从单一的智能合约转变为模仿软件“代理模式”的更复杂的三层系统。这种高级结构由一个引导流量的路由器合约、一个用于分析受害者系统的指纹合约以及一个存储加密数据和解密密钥的有效负载合约组成。这种设计允许攻击者通过单个区块链交易同时更新数千个受感染站点的基础设施,例如诱饵 URL 或加密密钥,这可能需要花费低至一美元的网络费用。为了传递最终的有效负载,UNC5142 采用了社会工程策略,例如显示虚假的 Cloudflare 验证页面或欺诈性的 Chrome 浏览器更新提示。这些诱饵旨在说服受害者执行恶意命令,这些命令通常隐藏在看似合法的操作中。成功执行会带来强大的信息窃取程序,包括 Vidar、Lummac.V2 和 RadThief。该组织的活动展示了技术复杂性的明显进步,朝着更强大的加密标准(如 AES-GCM)和更先进的混淆技术迈进。在一个记录的示例中,攻击者的 JavaScript 从 Cloudflare 获取加密的 HTML,然后在客户端进行解密。此解密页面提示用户运行隐藏的 PowerShell 命令来下载最终的有效负载,通常伪装成良性媒体文件。对区块链交易的分析表明,UNC5142 维护着至少两个并行基础设施,研究人员将其称为“主要”和“辅助”。两者都使用相同的智能合约代码,并由通过 OKX 交易所链接的加密货币钱包提供资金。据观察,攻击者在几分钟内更新了两个基础设施,这一行为强烈表明由单个有组织的参与者进行协调控制。研究强调,UNC5342 和 UNC5142 都不直接与区块链节点交互。相反,它们依赖集中式服务,例如公共远程过程调用 (RPC) 端点或第三方 API 提供商,从区块链获取数据。这种依赖性创造了研究人员所说的“观察和控制点”,防御者或服务提供商可能会进行干预。就 UNC5342 而言,研究人员联系了该活动中使用的几家 API 提供商。回应不一致;虽然一些提供商迅速采取行动阻止恶意活动,但其他提供商却没有。研究人员表示,这种不平衡的合作“增加了这种技术在威胁行为者中扩散的风险。”智能合约的固有性质提出了重大挑战,因为它们既是公开的又是不可变的。一旦部署,他们的代码就无法被安全团队删除或阻止,即使它被标记为恶意代码。基于网络的安全过滤器专为传统 Web 流量模式而设计,难以有效分析和阻止与 Web3 技术相关的分散模式。加密货币钱包地址提供的匿名性,加上区块链交易的极低成本,使威胁行为者能够快速迭代他们的策略并无限期地维持活动。研究人员估计,对于 UNC5142,更新整个恶意软件交付链每笔交易的成本在 25 美分到 1.5 美元之间,这为这些攻击者提供了超越传统基础设施的操作敏捷性。
