Kuzey Koreli Hackerlar Blockchain Akıllı Sözleşmelerindeki Kötü Amaçlı Yazılımları Gizlemek İçin EtherHiding Kullanıyor


16 Ekim 2025Ravie LakshmananKötü amaçlı yazılım / Blockchain

Kuzey Koreli Hackerlar

Kore Demokratik Halk Cumhuriyeti (diğer adıyla Kuzey Kore) ile bağları olan bir tehdit aktörünün, kötü amaçlı yazılım dağıtmak ve kripto para birimi hırsızlığını mümkün kılmak için EtherHiding tekniğinden yararlandığı gözlemlendi; bu, devlet destekli bir bilgisayar korsanlığı grubunun bu yöntemi ilk kez benimsediği anlamına geliyor.

Etkinlik, Google Tehdit İstihbaratı Grubu (GTIG) tarafından takip ettiği bir tehdit kümesiyle ilişkilendirildi. UNC5342CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) ve Void Dokkaebi (Trend Micro) olarak da bilinir.

Saldırı dalgası, kod adı Bulaşıcı Röportaj olan uzun süredir devam eden bir kampanyanın parçası; burada saldırganlar, LinkedIn’deki potansiyel hedeflere işe alım uzmanı veya işe alım müdürü gibi davranarak yaklaşıyor ve konuşmayı Telegram veya Discord’a kaydırdıktan sonra onları bir iş değerlendirmesi bahanesi altında kötü amaçlı kod çalıştırmaları için kandırıyor.

Bu çabaların nihai hedefi, geliştiricilerin makinelerine yetkisiz erişim elde etmek, hassas verileri çalmak ve kripto para varlıklarını ele geçirmektir; bu, Kuzey Kore’nin ikili siber casusluk ve mali kazanç arayışıyla tutarlıdır.

Google, Şubat 2025’ten bu yana UNC5342’nin, BNB Smart Chain (BSC) veya Ethereum gibi halka açık bir blockchain üzerindeki akıllı bir sözleşmeye hain kod yerleştirmeyi içeren gizli bir yaklaşım olan EtherHiding’i içerdiğini gözlemlediğini söyledi. Bunu yaparken, saldırı, blockchain’i, yayından kaldırma çabalarına karşı dayanıklı, merkezi olmayan bir ölü bırakma çözümleyicisine dönüştürüyor.

CIS Yapı Kitleri

Esnekliğin yanı sıra EtherHiding, akıllı sözleşmeyi kimin uyguladığının izlenmesini zorlaştırmak için blockchain işlemlerinin takma ad özelliğini de kötüye kullanıyor. İşleri daha da karmaşık hale getiren teknik, akıllı sözleşmeyi kontrol eden saldırganın kötü amaçlı veri yükünü istediği zaman güncellemesine izin vermesi (her ne kadar ortalama 1,37 $ gaz ücretine mal olsa da) ve böylece geniş bir tehdit yelpazesine kapıyı açması bakımından da esnektir.

Google Cloud Mandiant’ın danışmanlık lideri Robert Wallace, The Hacker News ile paylaştığı bir bildiride şöyle konuştu: “Ulus devlet tehdit aktörleri artık kolluk kuvvetlerinin müdahalesine karşı dayanıklı ve yeni kampanyalar için kolayca değiştirilebilen kötü amaçlı yazılımları dağıtmak için yeni teknikler kullandığından, bu gelişme tehdit ortamında bir artışa işaret ediyor.”

Sosyal mühendislik saldırısının ardından tetiklenen enfeksiyon zinciri, üç farklı kötü amaçlı yazılım ailesiyle Windows, macOS ve Linux sistemlerini hedef alabilen çok aşamalı bir süreçtir:

  • Npm paketleri biçiminde ortaya çıkan bir ilk indirici
  • Kripto para birimi cüzdanları, tarayıcı uzantısı verileri ve kimlik bilgileri gibi hassas bilgilerin sızmasından sorumlu bir JavaScript hırsızı olan BeaverTail
  • JADESNOW, InvisibleFerret’i getirmek için EtherHiding’i kullanan bir JavaScript indiricisi
  • InvisibleFerret, yüksek değerli hedeflere karşı dağıtılan bir Python arka kapısıdır ve güvenliği ihlal edilmiş ana bilgisayarın uzaktan kontrolüne olanak tanır ve ayrıca MetaMask ve Phantom cüzdanlarının yanı sıra 1Password gibi parola yöneticilerinin kimlik bilgilerini hedef alarak uzun vadeli veri hırsızlığına olanak tanır.

Google, “EtherHiding, blockchain teknolojisinin doğal özelliklerinin kötü amaçlar için yeniden kullanıldığı yeni nesil kurşun geçirmez barındırmaya doğru bir geçişi temsil ediyor” dedi. “Bu teknik, saldırganların yeni teknolojileri kendi avantajlarına göre uyarlayıp kullanmasıyla siber tehditlerin sürekli gelişiminin altını çiziyor.”



Source link