Hacker DPRK sử dụng 'EtherHiding' để lưu trữ phần mềm độc hại trên blockchain Ethereum, BNB: Google

Nhóm Threat Intelligence của Google đã cảnh báo rằng Triều Tiên đang sử dụng EtherHiding—một loại phần mềm độc hại ẩn trong các smart contracts trên blockchain và cho phép đánh cắp tiền điện tử—trong các hoạt động tấn công mạng của mình, khi năm 2025 được dự báo sẽ là năm kỷ lục về các vụ trộm tiền điện tử do quốc gia này thực hiện.

Mặc dù các nhà nghiên cứu của Google cho biết EtherHiding đã được các tác nhân đe dọa vì động cơ tài chính lợi dụng blockchain để phân phối các phần mềm đánh cắp thông tin từ ít nhất tháng 9 năm 2023, đây là lần đầu tiên họ quan sát thấy việc sử dụng nó bởi một quốc gia. Phần mềm độc hại này đặc biệt khó bị loại bỏ hoặc chặn bằng các phương pháp truyền thống.

“EtherHiding đặt ra những thách thức mới vì các chiến dịch truyền thống thường bị ngăn chặn bằng cách chặn các tên miền và địa chỉ IP đã biết,” các nhà nghiên cứu cho biết trong một bài đăng trên blog, chỉ ra rằng các smart contracts trên BNB Smart Chain và Ethereum đã từng chứa mã độc. Các tác giả phần mềm độc hại có thể “tận dụng blockchain để thực hiện các giai đoạn phát tán phần mềm độc hại tiếp theo vì smart contracts hoạt động tự động và không thể bị tắt,” họ bổ sung.

Mặc dù các nhà nghiên cứu bảo mật có thể cảnh báo cộng đồng bằng cách gắn thẻ một hợp đồng là độc hại trên các trình quét blockchain chính thức, họ lưu ý rằng, “các hoạt động độc hại vẫn có thể được thực hiện.”

Mối đe dọa tấn công mạng từ Triều Tiên

Các hacker Triều Tiên đã đánh cắp hơn 2 tỷ đô la chỉ tính riêng trong năm nay, phần lớn trong số đó đến từ vụ tấn công trị giá 1,46 tỷ đô la vào sàn giao dịch tiền điện tử Bybit vào tháng 2, theo một báo cáo tháng 10 của công ty phân tích blockchain Elliptic.

DPRK cũng bị quy trách nhiệm cho các vụ tấn công vào LND.fi, WOO X và Seedify, cũng như hơn ba mươi vụ hack khác, nâng tổng số tiền bị quốc gia này đánh cắp cho đến nay lên hơn 6 tỷ đô la. Theo các cơ quan tình báo, những khoản tiền này giúp tài trợ cho các chương trình vũ khí hạt nhân và tên lửa của quốc gia này.

Đạt được thông qua sự kết hợp giữa kỹ thuật xã hội, triển khai phần mềm độc hại và gián điệp mạng tinh vi, Triều Tiên đã phát triển nhiều chiến thuật để xâm nhập vào hệ thống tài chính hoặc dữ liệu nhạy cảm của các công ty. Chế độ này đã chứng minh sẵn sàng làm mọi cách để đạt được mục tiêu, bao gồm cả việc thành lập các công ty giả và nhắm mục tiêu các nhà phát triển bằng các lời mời làm việc giả mạo.

Các trường hợp được báo cáo với Decrypt cũng cho thấy các nhóm hacker Triều Tiên hiện đang thuê người không phải người Triều Tiên làm bình phong để giúp họ vượt qua các cuộc phỏng vấn xin việc tại các công ty công nghệ và tiền điện tử, khi các nhà tuyển dụng ngày càng cảnh giác với người Triều Tiên giả danh người nước ngoài để phỏng vấn. Kẻ tấn công cũng có thể dụ nạn nhân tham gia các cuộc họp video hoặc ghi âm podcast giả trên các nền tảng, sau đó hiển thị thông báo lỗi hoặc nhắc tải xuống bản cập nhật chứa mã độc.

Các hacker Triều Tiên cũng đã nhắm mục tiêu vào hạ tầng web truyền thống, tải lên hơn 300 gói mã độc lên npm registry, một kho phần mềm mã nguồn mở được hàng triệu nhà phát triển sử dụng để chia sẻ và cài đặt phần mềm JavaScript.

EtherHiding hoạt động như thế nào?

Bước chuyển mới nhất của Triều Tiên khi bổ sung EtherHiding vào kho vũ khí của mình được truy vết từ tháng 2 năm 2025, và kể từ đó Google cho biết họ đã theo dõi UNC5342—một tác nhân đe dọa của Triều Tiên liên kết với nhóm hacker FamousChollima—tích hợp EtherHiding vào chiến dịch kỹ thuật xã hội Contagious Interview.

Việc sử dụng phần mềm độc hại EtherHiding liên quan đến việc nhúng mã độc vào các smart contracts của các blockchain công khai, sau đó nhắm mục tiêu người dùng thông qua các trang WordPress bị chèn một đoạn mã JavaScript nhỏ.

“Khi người dùng truy cập vào trang web bị xâm nhập, script tải sẽ thực thi trong trình duyệt của họ,” các nhà nghiên cứu Google giải thích. “Script này sau đó giao tiếp với blockchain để lấy payload độc hại chính được lưu trữ trên một máy chủ từ xa.”

Họ bổ sung rằng phần mềm độc hại này triển khai một lệnh gọi hàm chỉ đọc (như eth_call), không tạo ra giao dịch trên blockchain. “Điều này đảm bảo việc lấy phần mềm độc hại diễn ra một cách lén lút và tránh phí giao dịch (tức là gas fees),” họ lưu ý. “Khi đã lấy được, payload độc hại sẽ được thực thi trên máy tính của nạn nhân. Điều này có thể dẫn đến nhiều hoạt động độc hại khác nhau, như hiển thị các trang đăng nhập giả, cài đặt phần mềm đánh cắp thông tin hoặc triển khai ransomware.”

Các nhà nghiên cứu cảnh báo rằng điều này “nhấn mạnh sự tiến hóa liên tục” của các chiến thuật tội phạm mạng. “Về bản chất, EtherHiding đại diện cho sự chuyển dịch sang thế hệ dịch vụ lưu trữ chống chịu thế hệ mới, nơi các tính năng vốn có của công nghệ blockchain được sử dụng lại cho mục đích xấu.”