أخبار اختراق التشفير: قراصنة كوريا الشمالية يستغلون EtherHiding لسرقات العملات المشفرة

قراصنة كوريا الشمالية ينشرون برمجيات خبيثة جديدة لسرقة العملات المشفرة باستخدام EtherHiding دون اكتشاف، مما يرمز إلى فجر هجمات إلكترونية قائمة على البلوكشين.

وفقًا لفرق الأمن السيبراني، فإن UNC5342، وهي مجموعة مدعومة من الدولة، هي أول دولة تستخدم EtherHiding لهجمات البرمجيات الخبيثة وسرقة الكريبتو.  

وفقًا لمجموعة Google للاستخبارات ضد التهديدات (GTIG)، التي أفادت بها Hacker News، تتضمن هذه الطريقة دمج التعليمات البرمجية الخبيثة في شكل عقود ذكية على سلاسل الكتل مثل بلوكتشين الإيثريوم وBNB Smart Chain (BSC).  

من خلال تحويل البلوكشين إلى "نقطة إسقاط ميتة" لامركزية، يجعل المهاجمون عمليات الإيقاف مرهقة، وليس من الواضح من أين نشأ الهجوم.  

كما يمنح المهاجمين القدرة على تحديث برامج العقود الذكية الخبيثة حسب الرغبة مع تجربة التحكم الديناميكي بتكلفة منخفضة لرسوم الغاز للتحديث.

الهندسة الاجتماعية الماكرة تستهدف المطورين عبر LinkedIn

أطلق على UNC5342 اسم حملة القرصنة "المقابلة المعدية"، وهي حملة هندسة اجتماعية متطورة.  

ينشئ المهاجمون ملفات تعريف على LinkedIn تقلد المجندين ويجذبون أهدافهم إلى قنوات Telegram أو Discord. هناك، يقنعون الضحايا بتشغيل رموز خبيثة متنكرة كاختبارات وظيفية.

الهدف النهائي هو الحصول على وصول غير مصرح به إلى أجهزة المطورين، وسرقة المعلومات الحساسة، والاستيلاء على أصول الكريبتو. تتماشى هذه الإجراءات مع أهداف كوريا الشمالية المزدوجة المتمثلة في التجسس الإلكتروني والكسب المالي.

سلسلة برمجيات خبيثة معقدة متعددة المراحل

سلسلة العدوى مخصصة لأنظمة Windows وmacOS وLinux. أولاً، تستخدم برنامج تنزيل يظهر كـ JavaScript يشبه حزمة npm.  

المراحل اللاحقة هي BeaverTail، التي تستخدم لسرقة محافظ العملات المشفرة، وJADESNOW، التي يمكنها التفاعل مع الإيثريوم العقود الذكية لتنزيل InvisibleFerret.  

InvisibleFerret، وهو إصدار JavaScript من باب خلفي Python، يسمح بسرقة البيانات على المدى الطويل والإدارة عن بعد للأجهزة المصابة.  

كما قامت البرمجيات الخبيثة بتثبيت مترجم Python محمول لتشغيل سارقي بيانات الاعتماد الإضافية المرتبطة بعناوين الإيثريوم.

عصر جديد من التهديدات الإلكترونية المدعومة بالبلوكشين

يقول باحثو الأمن السيبراني إن هذه زيادة خطيرة في التهديدات الإلكترونية. تتعثر عمليات إيقاف إنفاذ القانون بسبب طبيعة طبقة المضيف "المضادة للرصاص"، والتي تعتمد على البلوكشين التكنولوجيا.  

وفقًا لفريق الأمان في Google، فإن استخدام المهاجمين لسلاسل كتل متعددة في EtherHiding أمر مهم. يوضح كيف يتكيف المجرمون الإلكترونيون من خلال استغلال التقنيات الناشئة لصالحهم.

تكشف هذه الرؤية أن الجهات الفاعلة المدعومة من الدول تستغل التقنيات اللامركزية لسرقة العملات المشفرة والتجسس. هذا يشير إلى تطور مقلق في التهديدات الإلكترونية العالمية.

ظهر المنشور أخبار اختراق الكريبتو: قراصنة كوريا الشمالية يستغلون EtherHiding لسرقة العملات المشفرة لأول مرة على Live Bitcoin News.