Les hackers de la RPDC utilisent « EtherHiding » pour héberger des malwares sur les blockchains Ethereum et BNB : Google

Le Threat Intelligence Group de Google a averti que la Corée du Nord utilise EtherHiding—un logiciel malveillant qui se cache dans les smart contracts de la blockchain et permet le vol de cryptomonnaies—dans ses opérations de cyberattaque, alors que 2025 s’annonce comme une année record pour les vols de crypto par cet État voyou.

Bien que les chercheurs de Google aient indiqué qu’EtherHiding a été utilisé par des acteurs malveillants motivés par l’appât du gain exploitant la blockchain pour distribuer des infostealers depuis au moins septembre 2023, c’est la première fois qu’ils observent son utilisation par un État-nation. Ce logiciel malveillant est particulièrement résistant aux méthodes traditionnelles de suppression et de blocage.

« EtherHiding présente de nouveaux défis, car les campagnes traditionnelles ont généralement été stoppées en bloquant les domaines et adresses IP connus », ont déclaré les chercheurs dans un article de blog, en soulignant que les smart contracts sur BNB Smart Chain et Ethereum ont hébergé du code malveillant. Les auteurs du malware pourraient « exploiter la blockchain pour effectuer d’autres étapes de propagation du malware, puisque les smart contracts fonctionnent de manière autonome et ne peuvent pas être arrêtés », ont-ils ajouté.

Bien que les chercheurs en sécurité puissent alerter la communauté en étiquetant un contrat comme malveillant sur les scanners officiels de la blockchain, ils ont noté que « des activités malveillantes peuvent toujours être réalisées ».

La menace des hackers nord-coréens

Les hackers nord-coréens ont volé plus de 2 milliards de dollars jusqu’à présent cette année, la majeure partie provenant de l’attaque de 1,46 milliard de dollars contre la plateforme d’échange Bybit en février, selon un rapport d’octobre de la société d’analyse blockchain Elliptic.

La RPDC a également été tenue responsable des attaques contre LND.fi, WOO X et Seedify, ainsi que de trente autres piratages, portant le montant total volé par le pays à ce jour à plus de 6 milliards de dollars. Selon les agences de renseignement, ces fonds servent à financer les programmes d’armes nucléaires et de missiles du pays.

Obtenus par un mélange d’ingénierie sociale, de déploiement de logiciels malveillants et d’espionnage cybernétique sophistiqué, la Corée du Nord a développé un ensemble de tactiques pour accéder aux systèmes financiers ou aux données sensibles des entreprises. Le régime a prouvé qu’il était prêt à aller très loin pour y parvenir, y compris en créant de fausses entreprises et en ciblant les développeurs avec de fausses offres d’emploi.

Les cas rapportés à Decrypt montrent également que les groupes de hackers nord-coréens embauchent désormais des non-Coréens comme prête-noms pour les aider à passer des entretiens et obtenir des emplois dans des entreprises technologiques et crypto, alors que les employeurs deviennent plus méfiants envers les Nord-Coréens se faisant passer pour d’autres lors des entretiens. Les attaquants peuvent également attirer les victimes vers des réunions vidéo ou de fausses sessions d’enregistrement de podcasts sur des plateformes qui affichent ensuite des messages d’erreur ou invitent à télécharger des mises à jour contenant du code malveillant.

Les hackers nord-coréens ont également ciblé l’infrastructure web conventionnelle, téléchargeant plus de 300 paquets de code malveillant sur le registre npm, un référentiel de logiciels open source utilisé par des millions de développeurs pour partager et installer des logiciels JavaScript.

Comment fonctionne EtherHiding ?

Le dernier pivot de la Corée du Nord pour inclure EtherHiding dans son arsenal remonte à février 2025, et depuis lors, Google a déclaré avoir suivi UNC5342—un acteur de la menace nord-coréen lié au groupe de hackers FamousChollima—qui a intégré EtherHiding dans sa campagne d’ingénierie sociale Contagious Interview.

L’utilisation du malware EtherHiding implique l’intégration de code malveillant dans les smart contracts des blockchains publiques, puis le ciblage des utilisateurs via des sites WordPress infectés par un petit morceau de code JavaScript.

« Lorsqu’un utilisateur visite le site compromis, le script de chargement s’exécute dans son navigateur, » ont expliqué les chercheurs de Google. « Ce script communique ensuite avec la blockchain pour récupérer la charge utile principale stockée sur un serveur distant. »

Ils ont ajouté que le malware déploie un appel de fonction en lecture seule (tel que eth_call), qui ne crée pas de transaction sur la blockchain. « Cela garantit que la récupération du malware reste discrète et évite les frais de transaction (c’est-à-dire les frais de gas) », ont-ils noté. « Une fois récupérée, la charge utile malveillante est exécutée sur l’ordinateur de la victime. Cela peut entraîner diverses activités malveillantes, telles que l’affichage de fausses pages de connexion, l’installation de logiciels malveillants voleurs d’informations ou le déploiement de ransomwares. »

Les chercheurs ont averti que cela « souligne l’évolution continue » des tactiques des cybercriminels. « En substance, EtherHiding représente un passage à l’hébergement de nouvelle génération à l’épreuve des balles, où les caractéristiques inhérentes à la technologie blockchain sont détournées à des fins malveillantes. »