Se ha observado que los actores de amenazas asociados con la República Popular Democrática de Corea (también conocida como Corea del Norte) aprovechan la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que marca la primera vez que un grupo de piratas informáticos patrocinado por un estado emplea esta técnica.
Esta actividad se ha atribuido al grupo de amenazas rastreado por Google Threat Intelligence Group (GTIG) como UNC5342. Este clúster también se conoce como CL-STA-0240 (Unidad 42 de Palo Alto Networks), DeceivedDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX) y Tenacious Pungsan (Datadog). Boyd Dokkaebi (Trend Micro).
Esta ola de ataques es parte de una campaña de larga duración cuyo nombre en código es «Entrevista contagiosa», en la que los atacantes se acercan a objetivos potenciales en LinkedIn haciéndose pasar por reclutadores o reclutadores, trasladan la conversación a Telegram o Discord y luego usan revisiones de trabajo como excusa para engañarlos para que ejecuten código malicioso.
El objetivo final de estos esfuerzos es obtener acceso no autorizado a las máquinas de los desarrolladores, robar datos confidenciales y desviar activos de criptomonedas, en consonancia con la doble búsqueda de Corea del Norte de ciberespionaje y ganancias financieras.
Google dijo que ha estado observando UNC5342 que incorpora EtherHiding, un enfoque sigiloso para incrustar código malicioso dentro de contratos inteligentes en cadenas de bloques públicas como BNB Smart Chain (BSC) y Ethereum, desde febrero de 2025. Al hacerlo, este ataque convierte la cadena de bloques en un solucionador descentralizado de caída muerta que es resistente a los esfuerzos de eliminación.
Además de la resiliencia, EtherHiding explota el anonimato de las transacciones de blockchain para dificultar el seguimiento de quién implementó un contrato inteligente. Para complicar aún más las cosas, la tecnología es flexible en el sentido de que los atacantes que controlan los contratos inteligentes pueden actualizar cargas útiles maliciosas en cualquier momento (aunque a un costo promedio de $1,37 por el gas), abriendo así la puerta a una amplia gama de amenazas.
«Este desarrollo indica un panorama de amenazas en aumento, ya que los actores de amenazas de los estados-nación ahora están aprovechando nuevas técnicas para distribuir malware que puede resistir la aplicación de la ley y modificarse fácilmente para nuevas campañas», dijo Robert Wallace, líder de consultoría de Mandiant en Google Cloud.
La cadena de infección que sigue a un ataque de ingeniería social es un proceso de varios pasos que puede atacar sistemas Windows, macOS y Linux utilizando tres familias de malware diferentes.
Descargador inicial que aparece en forma de paquetes npm BeaverTail, un ladrón de JavaScript responsable de filtrar información sensible como carteras de criptomonedas, datos de extensión del navegador, credenciales, etc. JADESNOW, un descargador de JavaScript que utiliza EtherHiding para obtener InvisibleFerret InvisibleFerret, una puerta trasera de Python desplegada contra objetivos de alto valor que permite el control remoto de MetaMask, Phantom billeteras, contraseñas como 1Password Robo de datos a largo plazo dirigido a credenciales de administradores, así como información de hosts comprometidos.
«EtherHiding representa una transición a la próxima generación de alojamiento a prueba de balas, donde las capacidades únicas de la tecnología blockchain se reutilizan para fines maliciosos», dijo Google. «Esta técnica destaca la evolución continua de las amenazas cibernéticas a medida que los atacantes se adaptan y utilizan nuevas tecnologías para su beneficio».
Source link
