VietNetwork.Vn

Một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (hay còn gọi là Bắc Triều Tiên) đã bị phát hiện sử dụng kỹ thuật EtherHiding để phân phối phần mềm độc hại và cho phép đánh cắp tiền điện tử, đánh dấu lần đầu tiên một nhóm tin tặc được nhà nước tài trợ áp dụng phương pháp này.

Google Threat Intelligence Group (GTIG) đã quy hoạt động này cho một nhóm mối đe dọa mà họ theo dõi là UNC5342, còn được gọi là CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) và Void Dokkaebi (Trend Micro).


Làn sóng tấn công này là một phần của chiến dịch dài hạn có tên mã là Contagious Interview, trong đó những kẻ tấn công tiếp cận các mục tiêu tiềm năng trên LinkedIn bằng cách đóng giả là nhà tuyển dụng hoặc quản lý tuyển dụng, và lừa họ chạy mã độc với lý do đánh giá công việc sau khi chuyển cuộc trò chuyện sang Telegram hoặc Discord.

Mục tiêu cuối cùng của những nỗ lực này là truy cập trái phép vào máy của các nhà phát triển, đánh cắp dữ liệu nhạy cảm và rút tiền điện tử – phù hợp với mục tiêu song song của Triều Tiên là gián điệp mạng và lợi nhuận tài chính.

Google cho biết họ đã quan sát thấy UNC5342 kết hợp EtherHiding – một phương pháp bí mật liên quan đến việc nhúng mã độc vào hợp đồng thông minh trên blockchain công khai như BNB Smart Chain (BSC) hoặc Ethereum – kể từ tháng 2 năm 2025. Khi thực hiện như vậy, cuộc tấn công biến blockchain thành một trình giải quyết thư chết phi tập trung có khả năng chống lại các nỗ lực gỡ bỏ.

Bên cạnh khả năng phục hồi, EtherHiding còn lợi dụng tính chất ẩn danh của các giao dịch blockchain để gây khó khăn cho việc truy tìm người đã triển khai hợp đồng thông minh. Vấn đề càng trở nên phức tạp hơn khi kỹ thuật này còn linh hoạt ở chỗ nó cho phép kẻ tấn công kiểm soát hợp đồng thông minh cập nhật payload độc hại bất cứ lúc nào (mặc dù chi phí trung bình là 1,37 đô la phí gas), từ đó mở ra cánh cửa cho một loạt các mối đe dọa.

Robert Wallace, trưởng nhóm tư vấn tại Mandiant, Google Cloud, cho biết trong một tuyên bố chia sẻ với The Hacker News: "Sự phát triển này báo hiệu sự leo thang trong bối cảnh các mối đe dọa, vì các tác nhân đe dọa cấp quốc gia hiện đang sử dụng các kỹ thuật mới để phân phối phần mềm độc hại có khả năng chống lại các biện pháp thực thi pháp luật và có thể dễ dàng sửa đổi cho các chiến dịch mới".


Chuỗi lây nhiễm được kích hoạt sau cuộc tấn công kỹ thuật xã hội là một quá trình nhiều giai đoạn có khả năng nhắm mục tiêu vào các hệ thống Windows, macOS và Linux bằng ba nhóm phần mềm độc hại khác nhau -

    Trình tải xuống ban đầu được thể hiện dưới dạng các gói npm
    BeaverTail, một trình đánh cắp JavaScript chịu trách nhiệm đánh cắp thông tin nhạy cảm, chẳng hạn như ví tiền điện tử, dữ liệu tiện ích mở rộng trình duyệt và thông tin đăng nhập
    JADESNOW, một trình tải xuống JavaScript tương tác với Ethereum để tải InvisibleFerret
    InvisibleFerret, một biến thể JavaScript của backdoor Python được triển khai chống lại các mục tiêu có giá trị cao để cho phép điều khiển từ xa máy chủ bị xâm phạm, cũng như đánh cắp dữ liệu dài hạn bằng cách nhắm mục tiêu vào ví MetaMask và Phantom và thông tin đăng nhập từ các trình quản lý mật khẩu như 1Password

Nói một cách ngắn gọn, cuộc tấn công dụ nạn nhân chạy mã thực thi trình tải xuống JavaScript ban đầu tương tác với hợp đồng thông minh BSC độc hại để tải xuống JADESNOW, sau đó truy vấn lịch sử giao dịch liên quan đến địa chỉ Ethereum để lấy tải trọng giai đoạn thứ ba, trong trường hợp này là phiên bản JavaScript của InvisibleFerret.

Phần mềm độc hại này cũng cố gắng cài đặt một trình thông dịch Python di động để thực thi một thành phần đánh cắp thông tin đăng nhập bổ sung được lưu trữ tại một địa chỉ Ethereum khác. Những phát hiện này rất quan trọng vì kẻ tấn công sử dụng nhiều blockchain cho hoạt động EtherHiding.

Wallace nói với The Hacker News rằng họ chưa thấy tác nhân DPRK phân phối các trình cài đặt giả mạo (chẳng hạn như các trình cài đặt cho phần mềm hội nghị truyền hình FreeConference như đã từng xảy ra trước đây) kết hợp với việc sử dụng hợp đồng thông minh làm công cụ dàn dựng mã độc.

Google cho biết: "EtherHiding đại diện cho sự chuyển dịch sang lưu trữ chống đạn thế hệ tiếp theo, nơi các tính năng vốn có của công nghệ blockchain được tái sử dụng cho các mục đích xấu. Kỹ thuật này nhấn mạnh sự phát triển liên tục của các mối đe dọa mạng khi kẻ tấn công thích nghi và tận dụng các công nghệ mới để tạo lợi thế cho chúng."