DPRK xakerlari 'EtherHiding'dan foydalanib, zararli dasturlarni Ethereum va BNB blokcheynlarida joylashtirmoqda: Google

Google’s Threat Intelligence Group ogohlantirishicha, Shimoliy Koreya EtherHiding — blokcheyndagi smart contracts ichida yashirinadigan va kriptovalyutani o‘g‘irlash imkonini beradigan zararli dasturdan — o‘zining kiberhujum operatsiyalarida foydalanmoqda, 2025-yil esa ushbu davlat uchun kripto o‘g‘irliklari bo‘yicha rekord yil bo‘lishi kutilmoqda.

Google tadqiqotchilarining aytishicha, EtherHiding kamida 2023-yil sentabridan beri moliyaviy manfaatdor tahdid aktorlari tomonidan blockchain orqali infostealerlarni tarqatishda ishlatilgan, biroq bu uning davlat tomonidan ilk bor qo‘llanilayotganini ko‘rishmoqda. Ushbu zararli dastur an’anaviy bloklash va to‘xtatish usullariga nisbatan juda chidamli.

Tadqiqotchilar blog postida shunday deydi: “EtherHiding yangi muammolarni yuzaga keltiradi, chunki an’anaviy kampaniyalar odatda ma’lum domenlar va IP-larni bloklash orqali to‘xtatilgan.” Ular BNB Smart Chain va Ethereum dagi smart contractlarni zararli kod uchun asosiy mezbon sifatida ajratib ko‘rsatdi. Zararli dastur mualliflari “blokcheyn yordamida zararli dastur tarqalishining keyingi bosqichlarini amalga oshirishi mumkin, chunki smart contractlar mustaqil ishlaydi va ularni o‘chirib bo‘lmaydi”, deb qo‘shimcha qilishdi.

Ularning ta’kidlashicha, xavfsizlik tadqiqotchilari rasmiy blokcheyn skanerlari orqali contractni zararli deb belgilash orqali hamjamiyatni ogohlantirishi mumkin, biroq “zararli faoliyat hali ham amalga oshirilishi mumkin”.

Shimoliy Koreya xakerlik tahdidi

Shimoliy Koreya xakerlari joriy yil boshidan buyon 2 milliard dollardan ortiq mablag‘ o‘g‘irlashgan, uning katta qismi fevral oyida Bybit kripto birjasiga qilingan 1.46 milliard dollarlik hujumdan olingan, deya xabar beradi blockchain tahlil kompaniyasi Elliptic’ning oktyabr hisobotida.

DPRK shuningdek, LND.fi, WOO X va Seedify hamda yana o‘ttizdan ortiq xakerlik hujumlari uchun javobgar deb topilgan, bu esa mamlakat tomonidan o‘g‘irlangan umumiy mablag‘ni 6 milliard dollardan oshiradi. Razvedka agentliklariga ko‘ra, ushbu mablag‘lar mamlakatning yadroviy qurol va raketa dasturlarini moliyalashtirishga yordam beradi.

Ijtimoiy muhandislik, zararli dastur tarqatish va murakkab kiber josuslik usullari orqali qo‘lga kiritilgan mablag‘lar bilan Shimoliy Koreya kompaniyalarning moliyaviy tizimlari yoki maxfiy ma’lumotlariga kirish uchun turli taktikalardan foydalanmoqda. Rejim bunga erishish uchun soxta kompaniyalar tashkil etish va ishlab chiquvchilarni soxta ish takliflari bilan nishonga olish kabi harakatlardan ham qaytmayapti.

Decrypt’ga xabar qilingan holatlar shuni ko‘rsatadiki, Shimoliy Koreya xakerlik guruhlari endi texnologiya va kripto kompaniyalarida ishga kirish uchun suhbatlardan o‘tishda yordam beradigan koreyalik bo‘lmaganlarni ham yollamoqda, chunki ish beruvchilar Shimoliy Koreyaliklarning o‘zlarini boshqa mamlakat vakili sifatida ko‘rsatishidan ehtiyot bo‘lishmoqda. Hujumchilar jabrdiydalarni video uchrashuvlar yoki soxta podkast yozuvlariga jalb qilib, platformalarda xatolik xabarlari yoki zararli kod o‘rnatilgan yangilanishlarni yuklab olishga undashlari mumkin.

Shimoliy Koreya xakerlari an’anaviy veb-infratuzilmani ham nishonga olgan, ular npm registry — millionlab ishlab chiquvchilar JavaScript dasturlarini ulashish va o‘rnatishda foydalanadigan ochiq manbali dasturiy ta’minot omboriga 300 dan ortiq zararli kod paketlarini yuklashgan.

EtherHiding qanday ishlaydi?

Shimoliy Koreyaning EtherHiding’ni o‘z arsenaliga qo‘shishi 2025-yil fevraliga borib taqaladi va shundan beri Google UNC5342 — mamlakatning FamousChollima xakerlik guruhiga aloqador tahdid aktorini EtherHiding’ni o‘zining Contagious Interview ijtimoiy muhandislik kampaniyasiga qo‘shganini kuzatmoqda.

EtherHiding zararli dasturidan foydalanish — bu ochiq blokcheynlarning smart contractlariga zararli kod joylashtirish va so‘ngra foydalanuvchilarni kichik JavaScript kodi kiritilgan WordPress saytlar orqali nishonga olishni o‘z ichiga oladi.

“Foydalanuvchi zararli saytga tashrif buyurganda, yuklovchi skript brauzerida ishga tushadi,” — deb tushuntirdi Google tadqiqotchilari. “Bu skript blokcheyn bilan aloqa qilib, asosiy zararli yuklamani masofaviy serverdan oladi.”

Ular qo‘shimcha qilishicha, zararli dastur faqat o‘qish uchun mo‘ljallangan funksiya chaqiruvini (masalan, eth_call) ishga tushiradi, bu blokcheynda tranzaksiya yaratmaydi. “Bu zararli dastur yuklanishini yashirin qiladi va tranzaksiya to‘lovlaridan (ya’ni, gas fees) qochadi,” — deya izoh berishdi. “Olingach, zararli yuklama jabrdiydaning kompyuterida ishga tushadi. Bu turli zararli faoliyatlarga olib kelishi mumkin, masalan, soxta login sahifalarini ko‘rsatish, ma’lumot o‘g‘irlaydigan zararli dasturlarni o‘rnatish yoki ransomware joylashtirish.”

Tadqiqotchilar bu “kiberjinoyatchilarning taktikalari doimiy rivojlanayotganini” ta’kidlashdi. “Aslida, EtherHiding blokcheyn texnologiyasining o‘ziga xos xususiyatlari yovuz maqsadlarda qayta ishlatilayotgan yangi avlod ‘bulletproof hosting’ga o‘tishni anglatadi.”