【安全资讯】朝鲜黑客利用EtherHiding技术在区块链中隐藏恶意软件

概要：

朝鲜国家级黑客组织UNC5342近期采用名为EtherHiding的创新技术，通过区块链智能合约隐藏恶意软件，针对加密货币领域发起定向攻击。这种利用区块链不可篡改特性的攻击手段，为全球网络安全防御体系带来了新的挑战。

主要内容：

谷歌威胁情报小组发现，自2025年2月起，朝鲜黑客组织UNC5342在“传染性面试”行动中运用EtherHiding技术。该技术将恶意载荷嵌入以太坊或币安智能链的智能合约，利用区块链的匿名性和抗审查特性实现恶意脚本的隐蔽存储与动态更新。

攻击始于精心设计的虚假职位面试，黑客冒充BlockNovas LLC等虚构公司，诱骗软件开发人员执行伪装成技术测试的JavaScript下载器。该下载器会从智能合约中获取JADESNOW加载器，进而加载常用于长期间谍活动的InvisibleFerret恶意软件变种。

技术分析显示，攻击者通过在4个月内20余次更新智能合约（单次成本仅1.37美元），实现了攻击配置的灵活调整。恶意软件运行后会在内存中驻留，通过C2服务器接收指令，执行任意命令并将文件压缩传输至外部服务器或Telegram。

该攻击还专门窃取Chrome、Edge等浏览器存储的密码、信用卡及MetaMask等加密货币钱包信息。研究人员指出，这种跨区块链运作模式可能反映朝鲜网络团队间的操作隔离，显著增加了攻击溯源与防御难度。