Des hackers nord-coréens déploient le logiciel malveillant 'EtherHiding' dans des contrats intelligents, selon Google

Résumé Exécutif

Le groupe de renseignement sur les menaces (GTIG) de Google rapporte que les acteurs de menaces nord-coréens soutenus par l'État, spécifiquement UNC5342, exploitent une nouvelle technique surnommée 'EtherHiding' pour intégrer des logiciels malveillants de vol de cryptomonnaies directement dans des contrats intelligents sur des réseaux blockchain publics. Ce développement signifie une escalade des capacités cybernétiques des États-nations au sein de l'espace Web3, suscitant des préoccupations accrues en matière de sécurité et pouvant potentiellement influencer les futurs cadres réglementaires pour les actifs numériques.

L'événement en détail

EtherHiding fonctionne comme une méthode de déploiement de logiciels malveillants en deux phases, utilisant des blockchains publiques comme BNB Smart Chain et Ethereum pour héberger du code malveillant. Le processus commence par l'ingénierie sociale, où les attaquants utilisent des tactiques trompeuses, telles que de fausses offres d'emploi et des évaluations techniques, pour inciter les victimes à télécharger des fichiers de logiciels malveillants initiaux. Lors de l'exécution, un petit script de chargement JavaScript communique avec un contrat intelligent sur la blockchain en utilisant un appel de fonction 'en lecture seule' (par exemple, eth_call). Cette étape critique permet la récupération de la charge utile malveillante principale, telle que le téléchargeur JADESNOW, sans créer de transaction sur la blockchain, évitant ainsi les frais de gaz et améliorant la furtivité.

Le téléchargeur JADESNOW interagit ensuite avec la blockchain pour récupérer des charges utiles ultérieures et plus persistantes, y compris la porte dérobée INVISIBLEFERRET.JAVASCRIPT. Cette chaîne d'infection multi-étapes offre aux attaquants un accès à long terme aux systèmes compromis, permettant le vol de données, l'espionnage et le compromis de portefeuilles de cryptomonnaies sur les plateformes Windows, macOS et Linux. GTIG souligne qu'il s'agit du premier cas documenté d'un acteur étatique employant EtherHiding, apparu en septembre 2023 dans le cadre de la campagne CLEARFAKE (UNC5142) à motivation financière.

Stratégie de l'acteur de menace et positionnement de l'exploit

L'acteur de menace nord-coréen UNC5342 exploite EtherHiding pour des opérations d'espionnage et à motivation financière. Cette technique offre plusieurs avantages stratégiques aux attaquants. Son immuabilité garantit qu'une fois le code malveillant intégré dans un contrat intelligent, il ne peut pas être facilement supprimé ou modifié, fournissant un serveur de commande et de contrôle (C2) résilient. L'utilisation d'appels en lecture seule offre une furtivité significative, rendant les activités plus difficiles à tracer sur la blockchain. De plus, la flexibilité d'EtherHiding permet aux attaquants de mettre à jour les charges utiles et de modifier les méthodes d'attaque en modifiant simplement le contrat intelligent, adaptant leurs tactiques en temps réel.

L'adoption de plusieurs blockchains pour l'activité EtherHiding suggère une compartimentation opérationnelle parmi les opérateurs cybernétiques nord-coréens. Bien que les charges utiles malveillantes soient stockées sur la chaîne, les acteurs de la menace n'interagissent pas directement avec ces blockchains ; au lieu de cela, ils utilisent des services centralisés, similaires aux services Web2 traditionnels, pour interfacer avec les réseaux. Cette approche hybride permet de bénéficier des avantages décentralisés du stockage blockchain tout en exploitant une infrastructure web établie pour l'accès.

Implications pour le marché

L'émergence d'EtherHiding par une entité soutenue par l'État comme le Lazarus Group de la Corée du Nord a des implications significatives pour l'écosystème Web3 au sens large et les marchés de cryptomonnaies. L'augmentation des préoccupations de sécurité pourrait entraîner une diminution de la confiance des utilisateurs dans la sécurité des contrats intelligents et, par conséquent, une appréhension à court terme du marché. La résilience de la technique contre les efforts de suppression conventionnels nécessite un audit de contrat intelligent plus robuste et une éducation accrue en matière de sécurité au sein de la communauté crypto. Ce développement pourrait également intensifier l'examen réglementaire sur les mesures de sécurité crypto, poussant potentiellement à des normes de conformité plus strictes pour atténuer l'exploitation des technologies décentralisées par les États-nations.

Les organisations opérant dans ou interagissant avec l'espace Web3 sont invitées à adopter un modèle de sécurité 'zero-trust' et à appliquer des politiques robustes de Chrome Enterprise, telles que les restrictions de téléchargement (DownloadRestrictions), les mises à jour gérées (Managed Updates) et la navigation sécurisée (Safe Browsing), pour perturber de telles campagnes sophistiquées. L'évolution continue de ces menaces souligne le besoin critique de vigilance constante et de stratégies de cybersécurité adaptatives dans le paysage des actifs numériques.

Contexte plus large

La campagne Contagious Interview, une escroquerie de recrutement élaborée ciblant les développeurs des secteurs de la technologie et des monnaies numériques, est un vecteur clé pour UNC5342. Les attaquants créent des profils frauduleux sur les sites de réseaux professionnels, se faisant passer pour des recruteurs, puis déplacent les conversations vers des plateformes comme Telegram ou Discord. Les victimes sont ensuite invitées à télécharger des fichiers malveillants déguisés en évaluations de code depuis des plateformes telles que GitHub ou npm. Cette approche d'ingénierie sociale complète, combinée à la sophistication technique d'EtherHiding, illustre une tendance croissante des menaces persistantes avancées exploitant de nouvelles méthodes pour exploiter la nature décentralisée de la technologie blockchain. L'évolution de ces tactiques met en évidence un défi persistant pour les défenses de cybersécurité, car les acteurs de la menace s'adaptent continuellement pour échapper à la détection et maintenir un accès à long terme à des cibles de grande valeur pour l'espionnage et le gain financier.