根据谷歌威胁情报小组(GTIG)的最新研究,一个受朝鲜政府支持的黑客组织正在利用公共区块链托管恶意载荷。这项名为“以太隐身”(EtherHiding)的技术攻击活动,成为首个有记录的国家级行为体采用智能合约进行恶意软件分发的案例,旨在规避检测并阻挠清除行动。
谷歌将该活动归因于UNC5342组织,该组织与长期针对开发者和加密货币专业人士的“传染性面试”(Contagious Interview)行动有关。自2025年2月首次被发现使用以太隐身技术以来,UNC5342的最新工具包包含名为JADESNOW的JavaScript下载器,可直接从BNB智能链和以太坊智能合约存储的数据中获取并执行后门程序INVISIBLEFERRET。
该组织的载荷投递机制依赖于只读区块链调用。这些请求不会产生新交易,也不会在区块链分析工具中留下可见痕迹。由于智能合约本身具有不可篡改性,防御方无法删除其中嵌入的脚本。
在实际攻击中,威胁行为者可通过重写链上合约存储变量来更新或替换恶意软件载荷,而无需重新入侵分发站点或客户端。虽然此前已有出于经济动机的黑客使用此类基础设施,但谷歌表示这是首次观察到国家支持的黑客组织将该技术纳入其作战工具箱。
谷歌报告指出,该区块链基础设施与通过遭入侵的WordPress网站和社会工程诱饵(包括针对加密货币开发者的虚假职位面试)实施的现实感染相关联。访问这些网站的受害者会接收到JADESNOW加载器,该程序随后连接链上智能合约,获取JavaScript载荷并在本地运行。该载荷会进一步启动INVISIBLEFERRET——一个具备远程控制功能的全功能后门,可实现长期间谍活动和数据窃取。
尽管谷歌未具体说明智能合约数据的获取方式,但此前关于以太隐身技术的研究表明,攻击者通常依赖标准的JSON-RPC调用,这些调用可能经由公共或托管基础设施传输。阻断这些服务或强制客户端使用具有策略限制的自托管节点,可提供临时遏制方案。在浏览器端,组织可强制执行严格的扩展程序和脚本执行策略,并锁定更新工作流程,以防止伪造的Chrome式警告弹窗得逞。
