Se ha observado que un actor de amenazas vinculado a la República Popular Democrática de Corea (también conocida como Corea del Norte) aprovecha la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que supone la primera vez que un grupo de hackers patrocinado por un estado adopta este método.
El actividad ha sido atribuido por Google Threat Intelligence Group (GTIG) a un grupo de amenazas que rastrea como UNC5342 , que también se conoce como CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV #POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) y Void Dokkaebi (Trend Micro).
La ola de ataques es parte de una campaña de larga duración con nombre en código Entrevista contagiosa , en el que los atacantes acercarse posibles objetivos en LinkedIn haciéndose pasar por reclutadores o gerentes de contratación, y engañarlos para que ejecuten código malicioso con el pretexto de una evaluación laboral tras cambiar la conversación a Telegram o Discord.
El objetivo final de estos esfuerzos es obtener acceso no autorizado a las máquinas de los desarrolladores, robar datos confidenciales y desviar activos de criptomonedas, en consonancia con la doble búsqueda de Corea del Norte de ciberespionaje y ganancias financieras.
Google dijo que ha observado la incorporación de la UNC5342 Ocultación de éter — un enfoque sigiloso que implica incrustar código nefasto en un contrato inteligente en una cadena de bloques pública como BNB Smart Chain (BSC) o Ethereum, desde febrero de 2025. Al hacerlo, el ataque convierte la cadena de bloques en una cadena descentralizada solucionador de puntos muertos que sea resistente a los esfuerzos de desmantelamiento.
Además de la resiliencia, EtherHiding también abusa de la naturaleza seudónima de las transacciones de la cadena de bloques para dificultar el rastreo de quién ha implementado el contrato inteligente. Para complicar aún más las cosas, la técnica también es flexible, ya que permite al atacante que tiene el control del contrato inteligente actualizar la carga maliciosa en cualquier momento (aunque cuesta una media de 1,37 dólares en tarifas de gas), lo que abre la puerta a un amplio espectro de amenazas.
«Esta evolución indica una escalada en el panorama de las amenazas, ya que los actores de amenazas de los estados nacionales utilizan ahora nuevas técnicas para distribuir malware que es resistente a los ataques de las fuerzas del orden y que puede modificarse fácilmente para nuevas campañas», dijo Robert Wallace, líder consultor de Mandiant, Google Cloud, en un comunicado compartido con The Hacker News.
La cadena de infección que se desencadena tras el ataque de ingeniería social es un proceso de varias etapas que puede atacar sistemas Windows, macOS y Linux con tres familias de malware diferentes:
- Un descargador inicial que se manifiesta en forma de paquetes npm
- BeaverTail, un ladrón de JavaScript responsable de filtrar información confidencial, como carteras de criptomonedas, datos de extensiones de navegador y credenciales
- JADESNOW, un descargador de JavaScript que interactúa con Ethereum para obtener InvisibleFerret
- InvisibleFerret, una variante de JavaScript de la puerta trasera de Python, implementada contra objetivos de alto valor para permitir el control remoto del host comprometido, así como el robo de datos a largo plazo al atacar las carteras MetaMask y Phantom y las credenciales de administradores de contraseñas como 1Password
En pocas palabras, el ataque incita a la víctima a ejecutar un código que ejecuta el descargador de JavaScript inicial que interactúa con un contrato inteligente malicioso de BSC para descargar JADESNOW, que posteriormente consulta el historial de transacciones asociado a una dirección de Ethereum para obtener la carga útil de la tercera etapa, en este caso la versión JavaScript de InvisibleFerret.
El malware también intenta instalar un intérprete de Python portátil para ejecutar un componente robador de credenciales adicional almacenado en una dirección de Ethereum diferente. Los hallazgos son significativos debido al uso de múltiples cadenas de bloques por parte de los actores de la amenaza para sus actividades de ocultación de EtherHiding.
«EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan para fines maliciosos», dijo Google. «Esta técnica subraya la evolución continua de las ciberamenazas a medida que los atacantes se adaptan y aprovechan las nuevas tecnologías en su beneficio».