Hacker della DPRK utilizzano 'EtherHiding' per ospitare malware su Ethereum e BNB blockchain: Google

Il Threat Intelligence Group di Google ha avvertito che la Corea del Nord sta utilizzando EtherHiding—un malware che si nasconde nei smart contract della blockchain e consente il furto di criptovalute—nelle sue operazioni di cyber hacking, mentre il 2025 sembra destinato a diventare un anno record per i furti di crypto da parte dello stato canaglia.

Sebbene i ricercatori di Google abbiano dichiarato che EtherHiding è stato utilizzato da attori minacciosi motivati finanziariamente che abusano della blockchain per distribuire infostealer almeno da settembre 2023, questa è la prima volta che ne osservano l’uso da parte di uno stato nazionale. Il malware è particolarmente resistente ai metodi convenzionali di rimozione e blocco.

“EtherHiding presenta nuove sfide poiché le campagne tradizionali sono solitamente fermate bloccando domini e IP noti,” hanno affermato i ricercatori in un post sul blog, indicando in particolare gli smart contract su BNB Smart Chain ed Ethereum come ospitanti codice malevolo. Gli autori del malware potrebbero “sfruttare la blockchain per eseguire ulteriori fasi di propagazione del malware poiché gli smart contract operano in modo autonomo e non possono essere disattivati,” hanno aggiunto.

Sebbene i ricercatori di sicurezza possano avvisare la comunità etichettando un contratto come malevolo sugli scanner blockchain ufficiali, hanno osservato che “le attività malevole possono comunque essere eseguite.”

La minaccia degli hacker nordcoreani

Gli hacker nordcoreani hanno rubato oltre 2 miliardi di dollari finora quest’anno, la maggior parte dei quali provenienti dall’attacco da 1,46 miliardi di dollari all’exchange di crypto Bybit a febbraio, secondo un rapporto di ottobre della società di analisi blockchain Elliptic.

La DPRK è stata inoltre ritenuta responsabile degli attacchi a LND.fi, WOO X e Seedify, oltre che di altri trenta attacchi, portando il totale rubato dal paese fino ad oggi a oltre 6 miliardi di dollari. Questi fondi, secondo le agenzie di intelligence, aiutano a finanziare i programmi di armi nucleari e missili del paese.

Ottenuti tramite una combinazione di ingegneria sociale, distribuzione di malware e sofisticata cyber spionaggio, la Corea del Nord ha sviluppato una serie di tattiche per ottenere accesso ai sistemi finanziari o ai dati sensibili delle aziende. Il regime si è dimostrato disposto a spingersi molto oltre per farlo, incluso creare aziende false e prendere di mira sviluppatori con offerte di lavoro fasulle.

I casi segnalati a Decrypt mostrano anche che i gruppi di hacker nordcoreani ora assumono non-coreani come prestanome per aiutarli a superare i colloqui e ottenere lavori presso aziende tech e crypto, poiché i datori di lavoro sono diventati più cauti nei confronti dei nordcoreani che si spacciano per persone di altri paesi durante i colloqui. Gli aggressori possono anche attirare le vittime in riunioni video o registrazioni di podcast falsi su piattaforme che poi mostrano messaggi di errore o richiedono il download di aggiornamenti che contengono codice malevolo.

Gli hacker nordcoreani hanno inoltre preso di mira l’infrastruttura web convenzionale, caricando oltre 300 pacchetti di codice malevolo nel registro npm, un repository di software open-source utilizzato da milioni di sviluppatori per condividere e installare software JavaScript.

Come funziona EtherHiding?

L’ultimo cambiamento della Corea del Nord, che include EtherHiding nel suo arsenale, è stato fatto risalire a febbraio 2025, e da allora Google ha dichiarato di aver monitorato UNC5342—un attore minaccioso nordcoreano collegato al gruppo di hacking FamousChollima—che ha incorporato EtherHiding nella sua campagna di ingegneria sociale Contagious Interview.

L’uso del malware EtherHiding prevede l’incorporamento di codice malevolo negli smart contract delle blockchain pubbliche, per poi prendere di mira gli utenti tramite siti WordPress infettati con un piccolo frammento di codice JavaScript.

“Quando un utente visita il sito compromesso, lo script loader viene eseguito nel suo browser,” hanno spiegato i ricercatori di Google. “Questo script poi comunica con la blockchain per recuperare il payload malevolo principale memorizzato su un server remoto.”

Hanno aggiunto che il malware utilizza una chiamata di funzione in sola lettura (come eth_call), che non crea una transazione sulla blockchain. “Ciò garantisce che il recupero del malware sia furtivo ed eviti le commissioni di transazione (cioè le gas fee),” hanno osservato. “Una volta recuperato, il payload malevolo viene eseguito sul computer della vittima. Questo può portare a varie attività malevole, come la visualizzazione di pagine di login false, l’installazione di malware per il furto di informazioni o il rilascio di ransomware.”

I ricercatori hanno avvertito che ciò “sottolinea la continua evoluzione” delle tattiche dei cybercriminali. “In sostanza, EtherHiding rappresenta un passaggio verso l’hosting a prova di proiettile di nuova generazione, dove le caratteristiche intrinseche della tecnologia blockchain vengono riutilizzate per fini malevoli.”