Un gruppo nordcoreano legato alla RPDC ha sviluppato EtherHiding, un metodo per nascondere codice dannoso all’interno di smart contract blockchain pubblici e modificare i payload al volo. Secondo Google Threat Intelligence Group, questa tecnica è stata adottata dal gruppo UNC5342, noto anche come CL-STA-0240 da Palo Alto Networks, DeceptiveDevelopment da ESET e DEVPOPPER da Securonix.

I vettori di attacco sono coerenti con la campagna di lunga data “Contagious Interview” : gli aggressori contattano gli sviluppatori tramite LinkedIn , si spacciano per reclutatori, spostano la conversazione su Telegram o Discord e, con il pretesto di un test, li inducono a eseguire codice dannoso. L’obiettivo è l’accesso non autorizzato alle postazioni di lavoro e il furto di dati e criptovalute.

Google utilizza EtherHiding da febbraio 2025. Il codice è incorporato in uno smart contract sulla BNB Smart Chain o Ethereum, e la catena stessa funge da “dead drop” decentralizzato, un’infrastruttura resistente a cancellazioni e blocchi.

La pseudonimia delle transazioni complica l’attribuzione delle distribuzioni dei contratti e l’indirizzo di controllo può aggiornare il payload in qualsiasi momento (la commissione media per il gas è di circa 1,37 dollari), consentendo un rapido cambiamento di tattica e moduli dannosi. Mandiant sottolinea che l’inclusione di tali meccanismi da parte degli operatori statali aumenta la sopravvivenza delle campagne e accelera il loro adattamento a nuovi obiettivi.

L’infezione è preceduta da un inganno nelle app di messaggistica istantanea. La catena si sviluppa quindi in più fasi, colpendo sia i computer Windows che macOS e Linux. Innanzitutto, viene lanciato un loader primario, mascherato da pacchetto npm. Successivamente, viene attivato BeaverTail, un ladro di JavaScript, che estrae i dati del portafoglio crittografico , i contenuti delle estensioni del browser e le credenziali salvate.

Successivamente arriva JADESNOW, un altro loader JavaScript, che accede a Ethereum per ottenere InvisibleFerret. InvisibleFerret è un porting JavaScript di una backdoor Python precedentemente osservata: garantisce il controllo remoto della macchina e organizza l’estrazione di dati a lungo termine, anche da Meta Mask e Phantom, nonché da gestori di password come 1Password.

Gli hacker stanno anche cercando di installare un interprete Python portatile e di utilizzarlo per lanciare un modulo separato per rubare credenziali archiviate a un indirizzo diverso sulla rete Ethereum. A volte, vengono utilizzate più blockchain contemporaneamente, aumentando la sopravvivenza del canale di distribuzione e complicando le contromisure.

Questo approccio aumenta la resilienza ai blocchi e alle forze dell’ordine, complica l’analisi delle istanze e richiede ai team di difesa di monitorare non solo domini e indirizzi di hosting, ma anche la logica di riferimento degli smart contract, gli indirizzi e le chiamate specifiche ai provider RPC. Per gli sviluppatori presi di mira dagli aggressori su LinkedIn, i rischi sono particolarmente elevati: è più probabile che dispongano di wallet, accesso a repository e infrastrutture di sviluppo e che abbiano installato strumenti compatibili con la supply chain.

L’attacco dimostra un chiaro spostamento verso un uso improprio delle funzionalità della blockchain, come infrastruttura di controllo del malware distribuito. I team di difesa dovrebbero considerare i modelli di transazione, monitorare le chiamate degli smart contract e integrare indicatori relativi agli indirizzi e ai metodi di interazione con BSC ed Ethereum nelle analisi di sicurezza; in caso contrario, identificare e fermare tali catene diventerà sempre più difficile.

L'articolo Tutto parte da LinkedIn e un contatto di lavoro: sviluppatori adescati, portafogli crypto svuotati proviene da Red Hot Cyber.