EtherHiding: как северокорейские хакеры прячут малварь в блокчейне

«Блокчейн — это не панацея от зла. Это инструмент. И зло умеет им пользоваться.»
— Брюс Шнайер, эксперт по кибербезопасности

В октябре 2025 года аналитики Google Threat Intelligence Group (GTIG) зафиксировали тревожную тенденцию: северокорейская хакерская группировка UNC5342 начала активно использовать технику EtherHiding для размещения и доставки вредоносного ПО через публичные блокчейны Ethereum и BNB Smart Chain. Это не просто новый вектор атаки — это эволюция киберпреступности, где сама технология децентрализации становится укрытием для малвари.

С февраля 2025 года хакеры провели не менее 47 операций под кодовым названием Contagious Interview, нацеленных на разработчиков ПО по всему миру. Жертвы — в основном инженеры из США, Европы и Южной Кореи — получали предложения о работе от фальшивых компаний вроде BlockNovas LLC и SoftGlide LLC. На «собеседовании» их просили запустить «тестовый код» — на самом деле, это был JavaScript-загрузчик, инициирующий цепочку заражения.

⛓️ Как работает EtherHiding?

Техника EtherHiding, впервые описанная Guardio Labs в 2023 году, превращает смарт-контракты в невидимые серверы. Вот как это происходит:

1. Хакеры размещают вредоносный пейлоад (например, загрузчик JADESNOW) внутри данных смарт-контракта на Ethereum или BSC.
2. Жертва запускает начальный скрипт, который делает read-only вызов к контракту (например, через eth_call).
3. Пейлоад извлекается без создания транзакции — следов в блокчейне не остаётся.
4. Малварь загружается в память и начинает работу: крадёт seed-фразы, пароли, данные из браузеров.

Преимущества для злоумышленников очевидны:

• Анонимность — контракт можно развернуть через мультихоп-кошельки.
• Устойчивость — данные в блокчейне нельзя удалить.
• Гибкость — пейлоад можно обновлять, просто вызывая функцию updatePayload().
• Низкая стоимость — обновление контракта стоит ~$1.37 в газе (по данным GTIG).

🎯 Цель: кража криптоактивов и шпионаж

Основной фокус атак — криптокошельки. Малварь InvisibleFerret, доставляемый через JADESNOW, нацелен на:

• MetaMask и Phantom — извлекает закрытые ключи и seed-фразы.
• Chrome и Edge — крадёт сохранённые пароли, банковские карты, cookies сессий.
• Файловую систему — ищет документы, скриншоты, текстовые файлы с крипто-данными.

Украденная информация отправляется либо на C2-серверы, либо напрямую в Telegram-каналы, контролируемые хакерами. В некоторых случаях малварь остаётся в системе месяцами, выполняя команды по расписанию.

🌐 Почему это опасно для всей индустрии?

Раньше малварь размещали на хостингах, которые можно было заблокировать. Блокчейн же — неотзываемая инфраструктура. Как только пейлоад записан в контракт, его невозможно удалить без хардфорка.

Кроме того, использование нескольких блокчейнов (Ethereum + BSC) усложняет анализ. GTIG отмечает: это может указывать на операционное разделение между командами хакеров — одни отвечают за Ethereum, другие за BSC.

По данным Chainalysis, в 2025 году северокорейские группировки (включая Lazarus и Andariel) похитили уже $2.4 млрд в криптовалютах. EtherHiding — их новый инструмент для увеличения эффективности.

🛡️ Как защититься: рекомендации для разработчиков

Если вы соискатель на позицию разработчика — будьте особенно осторожны:

• Никогда не запускайте код из непроверенных источников на основном устройстве.
• Используйте изолированные среды (VirtualBox, Docker) для тестирования.
• Проверяйте все скрипты через Sandbox или Any.Run.
• Храните криптоактивы в аппаратных кошельках, отключённых от интернета.
• Регулярно проверяйте разрешения кошелька через Revoke.cash.

Для компаний:

• Проводите пентесты всех внешних скриптов.
• Обучайте сотрудников базовой гигиене безопасности.
• Используйте EDR-системы для мониторинга памяти на предмет подозрительных процессов.

🔮 Будущее: блокчейн как двойной меч

EtherHiding — не последняя попытка использовать блокчейн во вред. Уже появляются сообщения о:

• NFT-малваре — изображения, содержащие скрытый JavaScript.
• IPFS-векторах — вредоносные скрипты в децентрализованных хранилищах.
• Кросс-чейн эксплойтах — триггеры в одном блокчейне запускают действия в другом.

Как заявил исследователь из Guardio Labs: «Мы вступаем в эпоху “пуленепробиваемого хостинга”, где блокчейн — не защита, а укрытие для угроз.»

✅ Заключение: доверяй, но проверяй — особенно в Web3

Северокорейские хакеры показали: даже самые передовые технологии могут быть обращены против пользователей. EtherHiding — это не провал блокчейна. Это напоминание: децентрализация не отменяет необходимость безопасности.

В мире, где каждый смарт-контракт — потенциальный сервер, бдительность становится главным активом. И пока разработчики не начнут проверять каждый байт кода, как если бы он пришёл из даркнета, такие атаки будут только расти.

Потому что зло не спит. Оно просто научилось писать на Solidity.