谷歌报告：朝鲜黑客在智能合约中部署“EtherHiding”恶意软件

执行摘要

谷歌威胁分析小组 (GTIG) 报告称，朝鲜国家支持的威胁行为者，特别是 UNC5342，正在利用一种名为“EtherHiding”的新技术，将窃取加密货币的恶意软件直接嵌入公共区块链网络上的智能合约中。这一进展标志着国家级网络能力在 Web3 领域的升级，引发了人们对安全的更高担忧，并可能影响未来数字资产的监管框架。

事件详情

EtherHiding 作为一种两阶段的恶意软件部署方法运行，利用 BNB 智能链 和 以太坊 等公共区块链来托管恶意代码。该过程始于社会工程学，攻击者利用欺骗性策略，例如虚假招聘信息和技术评估，诱骗受害者下载初始恶意软件文件。执行后，一个小的 JavaScript 加载程序脚本使用“只读”函数调用（例如 eth_call）与区块链上的智能合约通信。这一关键步骤允许在不创建区块链交易的情况下检索主要的恶意有效载荷，例如 JADESNOW 下载器，从而避免了 Gas 费用并增强了隐秘性。

JADESNOW 下载器随后与区块链交互，以获取后续的、更持久的有效载荷，包括 INVISIBLEFERRET.JAVASCRIPT 后门。这种多阶段感染链为攻击者提供了对受损系统的长期访问权限，从而能够跨 Windows、macOS 和 Linux 平台进行数据窃取、间谍活动和加密货币钱包盗用。GTIG 强调这是第一个有记录的民族国家行为者使用 EtherHiding 的案例，该技术于 2023 年 9 月在以财务为目的的 CLEARFAKE 活动 (UNC5142) 中出现。

威胁行为者策略和漏洞定位

朝鲜威胁行为者 UNC5342 正在利用 EtherHiding 进行间谍活动和以财务为目的的操作。这项技术为攻击者提供了多项战略优势。其不变性确保一旦恶意代码嵌入智能合约，就不能轻易删除或更改，从而提供了一个有弹性的命令和控制 (C2) 服务器。使用只读调用提供了显著的隐秘性，使得在区块链上更难追踪活动。此外，EtherHiding 的灵活性允许攻击者通过简单修改智能合约来更新有效载荷和更改攻击方法，从而实时调整其策略。

为 EtherHiding 活动采用多个区块链表明朝鲜网络操作员之间存在操作区隔。虽然恶意有效载荷存储在链上，但威胁行为者并不直接与这些区块链交互；相反，他们利用类似于传统 Web2 服务的集中式服务来与网络接口。这种混合方法允许区块链存储的去中心化优势，同时利用已建立的 Web 基础设施进行访问。

市场影响

朝鲜 Lazarus Group 等国家支持实体使用 EtherHiding 带来了对更广泛的 Web3 生态系统和加密货币市场的重大影响。增加的安全担忧可能导致用户对智能合约安全性的信心下降，从而导致短期市场恐慌。该技术对抗传统清除工作的弹性需要更强大的智能合约审计和整个加密社区增强的安全教育。这一发展还可能加剧对加密安全措施的监管审查，可能会推动更严格的合规标准，以减轻民族国家对去中心化技术的利用。

建议在 Web3 领域内运营或与之交互的组织采用零信任安全模型，并强制执行强大的 Chrome Enterprise 策略，例如下载限制、托管更新和安全浏览，以破坏此类复杂的活动。这些威胁的持续演变凸显了在数字资产领域持续警惕和适应性网络安全策略的迫切需求。

更广泛的背景

“传染性面试” 活动是一项针对技术和数字货币领域开发人员的精心设计的招聘诈骗活动，是 UNC5342 的一个关键载体。攻击者在专业社交网站上创建虚假资料，冒充招聘人员，然后将对话转移到 Telegram 或 Discord 等平台。受害者随后被要求从 GitHub 或 npm 等平台下载伪装成编码评估的恶意文件。这种全面的社会工程方法，结合 EtherHiding 的技术复杂性，说明了高级持续性威胁利用新颖方法来利用区块链技术的去中心化性质的日益增长的趋势。此类战术的演变凸显了网络安全防御面临的持续挑战，因为威胁行为者不断适应以逃避检测并维持对高价值目标的长期访问，以进行间谍活动和财务收益。