Hackers norcoreanos despliegan malware 'EtherHiding' en contratos inteligentes, informa Google

Resumen Ejecutivo

El Grupo de Inteligencia de Amenazas (GTIG) de Google informa que actores de amenazas patrocinados por el estado norcoreano, específicamente UNC5342, están aprovechando una nueva técnica denominada 'EtherHiding' para incrustar malware de robo de criptomonedas directamente dentro de contratos inteligentes en redes blockchain públicas. Este desarrollo significa una escalada en las capacidades cibernéticas de los estados-nación dentro del espacio Web3, lo que genera mayores preocupaciones de seguridad y podría influir en futuros marcos regulatorios para activos digitales.

El Evento en Detalle

EtherHiding opera como un método de despliegue de malware de dos fases, utilizando blockchains públicas como BNB Smart Chain y Ethereum para alojar código malicioso. El proceso comienza con ingeniería social, donde los atacantes utilizan tácticas engañosas, como ofertas de trabajo falsas y evaluaciones técnicas, para engañar a las víctimas para que descarguen archivos de malware iniciales. Tras la ejecución, un pequeño script de carga de JavaScript se comunica con un contrato inteligente en la blockchain utilizando una llamada a función 'de solo lectura' (por ejemplo, eth_call). Este paso crítico permite la recuperación de la carga útil maliciosa principal, como el descargador JADESNOW, sin crear una transacción en la blockchain, lo que evita las tarifas de gas y mejora la sigilosidad.

El descargador JADESNOW luego interactúa con la blockchain para obtener cargas útiles posteriores y más persistentes, incluida la puerta trasera INVISIBLEFERRET.JAVASCRIPT. Esta cadena de infección de múltiples etapas proporciona a los atacantes acceso a largo plazo a sistemas comprometidos, lo que permite el robo de datos, el espionaje y el compromiso de carteras de criptomonedas en plataformas Windows, macOS y Linux. GTIG destaca esto como la primera instancia documentada de un actor de estado-nación que emplea EtherHiding, que surgió en septiembre de 2023 dentro de la campaña CLEARFAKE (UNC5142) motivada financieramente.

Estrategia del Actor de Amenazas y Posicionamiento del Exploit

El actor de amenazas norcoreano UNC5342 está aprovechando EtherHiding tanto para operaciones de espionaje como con fines financieros. Esta técnica ofrece varias ventajas estratégicas a los atacantes. Su inmutabilidad asegura que una vez que el código malicioso se incrusta en un contrato inteligente, no puede eliminarse ni modificarse fácilmente, proporcionando un servidor de comando y control (C2) resiliente. El uso de llamadas de solo lectura ofrece una sigilosidad significativa, lo que dificulta el rastreo de las actividades en la blockchain. Además, la flexibilidad de EtherHiding permite a los atacantes actualizar las cargas útiles y cambiar los métodos de ataque simplemente modificando el contrato inteligente, adaptando sus tácticas en tiempo real.

La adopción de múltiples blockchains para la actividad de EtherHiding sugiere una compartimentación operativa entre los operadores cibernéticos norcoreanos. Si bien las cargas útiles maliciosas se almacenan en la cadena, los actores de amenazas no interactúan directamente con estas blockchains; en cambio, utilizan servicios centralizados, similares a los servicios Web2 tradicionales, para interactuar con las redes. Este enfoque híbrido permite los beneficios descentralizados del almacenamiento en blockchain al tiempo que aprovecha la infraestructura web establecida para el acceso.

Implicaciones para el Mercado

La aparición de EtherHiding por parte de una entidad patrocinada por el estado como el Grupo Lazarus de Corea del Norte plantea implicaciones significativas para el ecosistema Web3 más amplio y los mercados de criptomonedas. El aumento de las preocupaciones de seguridad podría conducir a una disminución de la confianza del usuario en la seguridad de los contratos inteligentes y, en consecuencia, a una aprensión del mercado a corto plazo. La resistencia de la técnica contra los esfuerzos de eliminación convencionales requiere una auditoría de contratos inteligentes más robusta y una educación de seguridad mejorada en toda la comunidad cripto. Este desarrollo también puede intensificar el escrutinio regulatorio sobre las medidas de seguridad cripto, impulsando potencialmente estándares de cumplimiento más estrictos para mitigar la explotación por parte de estados-nación de las tecnologías descentralizadas.

Se recomienda a las organizaciones que operan dentro o interactúan con el espacio Web3 que adopten un modelo de seguridad de confianza cero y apliquen políticas robustas de Chrome Enterprise, como Restricciones de descarga (DownloadRestrictions), Actualizaciones gestionadas (Managed Updates) y Navegación segura (Safe Browsing), para interrumpir campañas tan sofisticadas. La evolución continua de estas amenazas subraya la necesidad crítica de una vigilancia continua y estrategias de ciberseguridad adaptativas en el panorama de los activos digitales.

Contexto más Amplio

La campaña 'Entrevista Contagiosa', una elaborada estafa de reclutamiento dirigida a desarrolladores en los sectores de tecnología y moneda digital, es un vector clave para UNC5342. Los atacantes crean perfiles fraudulentos en sitios de redes profesionales, haciéndose pasar por reclutadores, y luego trasladan las conversaciones a plataformas como Telegram o Discord. Posteriormente, se pide a las víctimas que descarguen archivos maliciosos disfrazados de evaluaciones de codificación de plataformas como GitHub o npm. Este enfoque integral de ingeniería social, combinado con la sofisticación técnica de EtherHiding, ilustra una tendencia creciente de amenazas persistentes avanzadas que aprovechan métodos novedosos para explotar la naturaleza descentralizada de la tecnología blockchain. La evolución de tales tácticas resalta un desafío persistente para las defensas de ciberseguridad, ya que los actores de amenazas se adaptan continuamente para evadir la detección y mantener el acceso a largo plazo a objetivos de alto valor para el espionaje y el beneficio financiero.