Edgen Crypto·Oct 17 2025, 19:00Googleの脅威インテリジェンスグループ(GTIG)は、北朝鮮の国家支援ハッカーが、暗号通貨を盗むマルウェアを公開ブロックチェーンネットワーク上のスマートコントラクト内に直接埋め込む新しい技術「EtherHiding」を特定しました。これは、国家サイバー戦争戦術における重要な進化を示しています。
Googleの脅威インテリジェンスグループ(GTIG)は、北朝鮮の国家支援型脅威アクター、特にUNC5342が、「EtherHiding」と呼ばれる新しい技術を悪用して、暗号通貨窃盗マルウェアを公開ブロックチェーンネットワーク上のスマートコントラクト内に直接埋め込んでいると報告しています。この進展は、Web3空間における国家のサイバー能力の拡大を示しており、セキュリティ上の懸念を高め、デジタル資産の将来の規制フレームワークに影響を与える可能性があります。
EtherHidingは、BNBスマートチェーンやイーサリアムのような公開ブロックチェーンを悪意のあるコードのホスティングに利用する2段階のマルウェア展開方法として機能します。このプロセスはソーシャルエンジニアリングから始まり、攻撃者は偽の求人情報や技術評価などの欺瞞的な戦術を用いて、被害者を初期マルウェアファイルをダウンロードするように騙します。実行されると、小さなJavaScriptローダースクリプトが「読み取り専用」関数呼び出し(例:eth_call)を使用してブロックチェーン上のスマートコントラクトと通信します。この重要なステップにより、JADESNOWダウンローダーのような主要な悪意のあるペイロードをブロックチェーン上にトランザクションを作成することなく取得できるため、ガス料金を回避し、ステルス性を高めます。
JADESNOWダウンローダーはその後、ブロックチェーンと相互作用して、INVISIBLEFERRET.JAVASCRIPTバックドアを含む、後続のより持続的なペイロードを取得します。この多段階の感染チェーンは、攻撃者に侵害されたシステムへの長期的なアクセスを提供し、Windows、macOS、Linuxプラットフォーム全体でデータ窃盗、スパイ活動、および暗号通貨ウォレットの侵害を可能にします。GTIGは、2023年9月に金銭目的のCLEARFAKEキャンペーン(UNC5142)内で出現したEtherHidingを使用する国家アクターの最初の文書化された事例としてこれを強調しています。
北朝鮮の脅威アクターUNC5342は、スパイ活動と金銭目的の操作の両方にEtherHidingを悪用しています。この技術は、攻撃者にいくつかの戦略的利点を提供します。その不変性により、悪意のあるコードがスマートコントラクトに埋め込まれると、容易に削除または変更できないため、堅牢なコマンド&コントロール(C2)サーバーを提供します。読み取り専用呼び出しの使用は、活動をブロックチェーン上で追跡することをより困難にするため、著しいステルス性を提供します。さらに、EtherHidingの柔軟性により、攻撃者はスマートコントラクトを単純に修正することでペイロードを更新し、攻撃方法を変更して、リアルタイムで戦術を適応させることができます。
EtherHiding活動に複数のブロックチェーンを採用していることは、北朝鮮のサイバーオペレーター間の運用上の区分を示唆しています。悪意のあるペイロードはオンチェーンに保存されていますが、脅威アクターはこれらのブロックチェーンと直接対話していません。代わりに、従来のWeb2サービスに似た集中型サービスを利用してネットワークとインターフェースしています。このハイブリッドアプローチは、ブロックチェーンストレージの分散型利点を可能にしながら、確立されたウェブインフラストラクチャをアクセスに活用します。
北朝鮮のラザラスグループのような国家支援型エンティティによるEtherHidingの出現は、より広範なWeb3エコシステムと暗号通貨市場に重大な影響を与えます。セキュリティ上の懸念の高まりは、スマートコントラクトのセキュリティに対するユーザーの信頼の低下につながり、結果として短期的な市場の不安を引き起こす可能性があります。従来のテイクダウン対策に対するこの技術の回復力は、より堅牢なスマートコントラクトの監査と、暗号コミュニティ全体でのセキュリティ教育の強化を必要とします。この進展は、暗号セキュリティ対策に対する規制当局の監視を強化する可能性もあり、国家による分散型技術の悪用を軽減するために、より厳格なコンプライアンス基準を推進する可能性があります。
Web3空間内で活動している、またはWeb3空間と相互作用している組織は、ゼロトラストセキュリティモデルを採用し、DownloadRestrictions、Managed Updates、Safe Browsingなどの堅牢なChrome Enterpriseポリシーを適用して、このような高度なキャンペーンを阻止することを推奨します。これらの脅威の継続的な進化は、デジタル資産の状況において、継続的な警戒と適応的なサイバーセキュリティ戦略の重要性を強調しています。
テクノロジーおよびデジタル通貨セクターの開発者を標的とした巧妙な採用詐欺キャンペーンであるContagious Interviewキャンペーンは、UNC5342の主要なベクトルです。攻撃者は、プロのネットワーキングサイトに不正なプロファイルを作成し、採用担当者になりすまして、その後TelegramやDiscordのようなプラットフォームに会話を移行します。被害者はその後、GitHubやnpmのようなプラットフォームから、コーディング評価を装った悪意のあるファイルをダウンロードするように求められます。この包括的なソーシャルエンジニアリングアプローチと、EtherHidingの技術的な洗練さは、ブロックチェーン技術の分散型性質を悪用するための新しい方法を利用する高度な持続的脅威の増加傾向を示しています。このような戦術の進化は、脅威アクターが検出を回避し、スパイ活動や金銭的利益のために高価値のターゲットへの長期的なアクセスを維持するために継続的に適応しているため、サイバーセキュリティ防御にとって持続的な課題を浮き彫りにしています。
