Actualités de piratage Crypto : Des pirates nord-coréens exploitent EtherHiding pour des vols de Crypto

Les pirates nord-coréens déploient un nouveau malware pour voler des cryptomonnaies en utilisant EtherHiding sans détection, ce qui symbolise l'aube des cyberattaques basées sur la blockchain.

Selon les équipes de cybersécurité, UNC5342, un groupe soutenu par l'État, est le premier État-nation à utiliser EtherHiding pour des attaques de malware et des vols de crypto.  

Selon le Google Threat Intelligence Group (GTIG), comme rapporté par The Hacker News, cette méthode incorpore du code malveillant sous forme de smart contracts sur des blockchains comme Ethereum et BNB Smart Chain (BSC).  

En transformant la blockchain en une "boîte morte" décentralisée, les attaquants rendent les neutralisations difficiles, et il n'est pas clair d'où provient l'attaque.  

Cela donne également aux attaquants la capacité de mettre à jour les malwares de smart contract à volonté tout en bénéficiant d'un contrôle dynamique avec un faible coût de mise à jour des frais de gaz.

L'ingénierie sociale sournoise cible les développeurs via LinkedIn

Surnommée campagne de piratage "Contagious Interview", UNC5342 est une campagne d'ingénierie sociale sophistiquée.  

Les attaquants créent des profils LinkedIn qui imitent des recruteurs et attirent leurs cibles vers des canaux Telegram ou Discord. Là, ils persuadent les victimes d'exécuter du code malveillant déguisé en tests d'emploi.

L'objectif ultime est d'obtenir un accès non autorisé aux appareils des développeurs, de voler des informations sensibles et de saisir des actifs crypto. Ces actions s'alignent sur les doubles objectifs de la Corée du Nord : le cyber-espionnage et le gain financier.

Chaîne de malware complexe à plusieurs étapes

La chaîne d'infection est destinée à Windows, macOS et Linux. D'abord, elle utilise un téléchargeur qui apparaît comme un JavaScript ressemblant à un package npm.  

Les étapes suivantes sont BeaverTail, utilisé pour voler des portefeuilles de cryptomonnaies, et JADESNOW, qui peut interagir avec les smart contracts Ethereum pour télécharger InvisibleFerret.  

InvisibleFerret, une version JavaScript d'une porte dérobée Python, permet le vol de données à long terme et la gestion à distance des ordinateurs infectés.  

Le malware a également installé un interpréteur Python portable pour exécuter des voleurs d'identifiants supplémentaires associés aux adresses Ethereum.

Une nouvelle ère de cybermenaces basées sur la blockchain

Les chercheurs en cybersécurité affirment qu'il s'agit d'une augmentation sérieuse des cybermenaces. Les interventions des forces de l'ordre sont entravées par la nature "à l'épreuve des balles" de la couche d'hébergement, qui est basée sur la technologie blockchain.  

Selon l'équipe de sécurité de Google, l'utilisation par les attaquants de multiples blockchains dans EtherHiding est significative. Cela montre comment les cybercriminels s'adaptent en exploitant les technologies émergentes à leur avantage.

Cette révélation montre que des acteurs soutenus par des États exploitent les technologies décentralisées pour le vol de crypto et l'espionnage. Cela marque une évolution inquiétante dans les cybermenaces mondiales.

L'article Crypto Hack News: North Korean Hackers Exploit EtherHiding for Crypto Thefts est apparu en premier sur Live Bitcoin News.