Negli ultimi tempi la sicurezza informatica è stata messa a dura prova da nuove tecniche sofisticate adottate da gruppi di hacker sponsorizzati da Stati. Un caso recente riguarda un gruppo legato alla Corea del Nord, identificato come UNC5342, che ha iniziato ad utilizzare una tecnica chiamata EtherHiding per distribuire malware attraverso smart contract su blockchain pubbliche come Binance Smart Chain ed Ethereum.

Questa tecnica consente agli hacker di sfruttare la natura decentralizzata e resistente alla censura delle blockchain per nascondere codice malevolo all'interno di smart contract pubblici. Così facendo, la blockchain stessa viene utilizzata come una sorta di deposito segreto per i payload del malware, rendendo più difficile per le autorità intervenire e rimuovere i contenuti dannosi rispetto a un classico server compromesso.

La campagna Contagious Interview

La campagna malevola, denominata Contagious Interview, prende di mira sviluppatori tramite social engineering. Gli attaccanti si fingono recruiter su LinkedIn e, dopo aver spostato la conversazione su Telegram o Discord, inducono la vittima a eseguire codice infetto con il pretesto di una valutazione tecnica. L'obiettivo finale è ottenere accesso non autorizzato ai dispositivi delle vittime, sottrarre dati sensibili e rubare criptovalute.

Meccanismo d'infezione

Il meccanismo d'infezione si articola in più fasi e colpisce sistemi Windows, macOS e Linux. Il primo stadio prevede il download tramite pacchetti npm dannosi, seguito da malware come BeaverTail, che ruba informazioni sensibili come wallet crypto e credenziali. Successivamente entra in gioco JADESNOW, un downloader che comunica con Ethereum per scaricare ulteriori payload, tra cui InvisibleFerret, una versione JavaScript di un backdoor Python in grado di controllare la macchina compromessa e sottrarre dati a lungo termine, compresi wallet MetaMask e Phantom e password da gestori come 1Password.

Innovazione e flessibilità della minaccia

La particolarità di EtherHiding è che consente agli attaccanti di aggiornare il codice malevolo all'interno dello smart contract in qualsiasi momento, sostenendo solo un piccolo costo in gas fee. Questo rende la minaccia estremamente flessibile e adattabile: i payload possono cambiare di continuo, rendendo complessa la difesa.

Questa innovazione segna una nuova era per il cybercrime sponsorizzato dagli Stati, in cui le caratteristiche intrinseche delle tecnologie blockchain vengono manipolate per creare infrastrutture di hosting praticamente inattaccabili. Gli esperti sottolineano come questa evoluzione rappresenti una sfida crescente per la sicurezza e richieda strategie sempre più sofisticate di rilevamento e risposta.