Un grupo de hackers vinculado al régimen norcoreano, rastreado como UNC5342 (también conocido como Famous Chollima ), ha sido detectado utilizando una nueva y sofisticada técnica llamada EtherHiding para insertar malware dentro de contratos inteligentes en cadenas de bloques (blockchains) como Ethereum o BNB Smart Chain.
Esta es la primera vez que un actor estatal recurre a esta estrategia, que le confiere una resiliencia operativa extrema al ocultar el malware en la infraestructura pública descentralizada.
Entrevista Contagiosa La Cadena de Ataque
La campaña se llama Contagious Interview y explota la confianza profesional para infiltrarse en sistemas de desarrolladores y profesionales de seguridad.
- Ingeniería Social (LinkedIn): El ataque comienza con perfiles falsos de reclutadores en LinkedIn que contactan a profesionales.
- Cebo de Evaluación: La conversación se transfiere a Telegram o Discord, donde el atacante comparte una “evaluación técnica” o prueba de empleo que contiene paquetes maliciosos.
- Descargador Inicial: El paquete incluye un componente JavaScript que actúa como stager e inicia la cadena de infección.
EtherHiding: El Dead Drop Descentralizado
El stager inicial no se conecta a un servidor C2 tradicional, sino que interactúa con un contrato inteligente malicioso en la blockchain para obtener una carga útil oculta.
- Resistencia al Derribo: Al usar el blockchain público, el malware no depende de servidores controlados que puedan ser bloqueados o dados de baja por las autoridades.
- Actualizaciones Dinámicas: El atacante puede actualizar el código malicioso dentro del contrato inteligente dinámicamente (pagando el costo de gas), sin necesidad de desplegar nueva infraestructura C2.
- Anonimato: Las transacciones en la blockchain dificultan la atribución exacta de quién desplegó el contrato.
Cargas útiles multiplataforma
El ataque utiliza múltiples fases de malware enfocado en el robo de datos financieros y credenciales en sistemas Windows, macOS y Linux:
- BeaverTail: Un ladrón en JavaScript que roba datos sensibles, extensiones de navegador y billeteras de criptomonedas.
- JADESNOW: Un descargador que consulta transacciones del contrato para activar la carga útil adicional.
- InvisibleFerret: Una variante de puerta trasera en JavaScript orientada al control remoto, exfiltración prolongada y ataque a monederos como MetaMask/Phantom y gestores de contraseñas.
Impacto y Riesgos Potenciales
Este ataque combina espionaje financiero y tradicional, y es altamente resistente.
- Robo Financiero: Acceso y vaciamiento de wallets y robo de credenciales de servicios crypto .
- Persistencia prolongada: Al ocultarse detrás de la blockchain pública, el malware puede permanecer “invisible” durante mucho tiempo, complicando la respuesta forense tradicional, que se enfoca en eliminar IPs y servidores C2.
- Escalamiento: Un host de desarrollador comprometido es una puerta de entrada para el movimiento lateral a infraestructura interna.
Recomendaciones
- Vigilancia Extrema en Entornos de Desarrollo
- Aislamiento: Nunca ejecutar código de evaluación técnica o paquetes desconocidos sin una verificación exhaustiva. Utilizar ambientes aislados o sandboxes para cualquier prueba de código externo.
- Auditoría de Paquetes: Inspeccionar y auditar paquetes de software antes de ejecutarlos. Buscar conexiones de red inusuales o el uso de librerías con referencias a contratos inteligentes.
- Monitoreo de Tráfico Blockchain
- Análisis de Tráfico Saliente: Configurar firewalls e IDS para analizar el tráfico saliente de las máquinas de desarrollo hacia redes blockchain (Ethereum, BSC).
- Alertas de Interacción con Contratos: Implementar alertas para detectar consultas o transacciones inusuales a nodos o contratos públicos desde hosts internos, que podrían ser indicativos de la técnica EtherHiding .
- Control de Privilegios y Monederos
- Mínimo Privilegio: Asegurarse de que los entornos de desarrollo tengan permisos mínimos y usar cuentas separadas.
- Restricción de Acceso: Restringir estrictamente el acceso a wallets de criptomonedas (como MetaMask) desde ambientes de trabajo no controlados o inseguros.
