Une nouvelle cybermenace émerge de Corée du Nord alors que ses pirates informatiques soutenus par l'État expérimentent l'intégration de code malveillant directement dans les réseaux blockchain. Le Groupe de renseignement sur les menaces de Google (GTIG) a rapporté le 17 octobre que cette technique, appelée EtherHiding, marque une nouvelle évolution dans la façon dont les pirates cachent, distribuent et contrôlent les logiciels malveillants à travers les systèmes décentralisés. Qu'est-ce qu'EtherHiding ? Le GTIG a expliqué qu'EtherHiding permet aux attaquants d'armer les smart contracts et les blockchains publiques comme Blockchain Ethereum et BNB Smart Chain en les utilisant pour stocker des charges utiles malveillantes. Une fois qu'un morceau de code est téléchargé sur ces registres distribués, il devient presque impossible de le supprimer ou de le bloquer en raison de leur nature immuable. "Bien que les smart contracts offrent des moyens innovants de construire des applications décentralisées, leur nature immuable est exploitée dans EtherHiding pour héberger et servir du code malveillant d'une manière qui ne peut pas être facilement bloquée", a écrit le GTIG. En pratique, les pirates compromettent des sites WordPress légitimes, souvent en exploitant des vulnérabilités non corrigées ou des identifiants volés. Après avoir obtenu l'accès, ils insèrent quelques lignes de JavaScript—connues sous le nom de "loader"—dans le code du site web. Lorsqu'un visiteur ouvre la page infectée, le loader se connecte discrètement à la blockchain et récupère des logiciels malveillants depuis un serveur distant. EtherHiding sur BNB Chain et Ethereum. Source : Google Threat Intelligence Group Le GTIG a souligné que cette attaque ne laisse souvent aucune trace de transaction visible et nécessite peu ou pas de frais car elle se produit off-chain. Cela permet essentiellement aux attaquants d'opérer sans être détectés. Notamment, le GTIG a retracé la première instance d'EtherHiding à septembre 2023, lorsqu'elle est apparue dans une campagne connue sous le nom de CLEARFAKE, qui trompait les utilisateurs avec de fausses invites de mise à jour du navigateur. Comment prévenir l'attaque Les chercheurs en cybersécurité affirment que cette tactique signale un changement dans la stratégie numérique de la Corée du Nord, passant du simple vol de cryptomonnaie à l'utilisation de la blockchain elle-même comme arme furtive. "EtherHiding représente un changement vers l'hébergement à l'épreuve des balles de nouvelle génération, où les caractéristiques inhérentes à la technologie blockchain sont réutilisées à des fins malveillantes. Cette technique souligne l'évolution continue des cybermenaces à mesure que les attaquants s'adaptent et tirent parti des nouvelles technologies à leur avantage", a déclaré le GTIG. John Scott-Railton, chercheur principal chez Citizen Lab, a décrit EtherHiding comme une "expérience à un stade précoce". Il a averti que sa combinaison avec l'automatisation pilotée par l'IA pourrait rendre les futures attaques beaucoup plus difficiles à détecter. "Je m'attends à ce que les attaquants expérimentent également le chargement direct d'exploits à zéro clic sur les blockchains ciblant des systèmes et des applications qui traitent les blockchains... surtout s'ils sont parfois hébergés sur les mêmes systèmes et réseaux qui gèrent les transactions / ont des portefeuilles", a-t-il ajouté. Ce nouveau vecteur d'attaque pourrait avoir de graves implications pour l'industrie crypto, étant donné que les attaquants nord-coréens sont particulièrement prolifiques. Les données de TRM Labs montrent que les groupes liés à la Corée du Nord ont déjà volé plus de 1,5 milliard de dollars en actifs crypto cette année seulement. Les enquêteurs pensent que ces fonds aident à financer les programmes militaires de Pyongyang et ses efforts pour échapper aux sanctions internationales. Compte tenu de cela, le GTIG a conseillé aux utilisateurs de crypto de réduire leur risque en bloquant les téléchargements suspects et en limitant les scripts web non autorisés. Le groupe a également exhorté les chercheurs en sécurité à identifier et à étiqueter le code malveillant intégré dans les réseaux blockchain.Une nouvelle cybermenace émerge de Corée du Nord alors que ses pirates informatiques soutenus par l'État expérimentent l'intégration de code malveillant directement dans les réseaux blockchain. Le Groupe de renseignement sur les menaces de Google (GTIG) a rapporté le 17 octobre que cette technique, appelée EtherHiding, marque une nouvelle évolution dans la façon dont les pirates cachent, distribuent et contrôlent les logiciels malveillants à travers les systèmes décentralisés. Qu'est-ce qu'EtherHiding ? Le GTIG a expliqué qu'EtherHiding permet aux attaquants d'armer les smart contracts et les blockchains publiques comme Blockchain Ethereum et BNB Smart Chain en les utilisant pour stocker des charges utiles malveillantes. Une fois qu'un morceau de code est téléchargé sur ces registres distribués, il devient presque impossible de le supprimer ou de le bloquer en raison de leur nature immuable. "Bien que les smart contracts offrent des moyens innovants de construire des applications décentralisées, leur nature immuable est exploitée dans EtherHiding pour héberger et servir du code malveillant d'une manière qui ne peut pas être facilement bloquée", a écrit le GTIG. En pratique, les pirates compromettent des sites WordPress légitimes, souvent en exploitant des vulnérabilités non corrigées ou des identifiants volés. Après avoir obtenu l'accès, ils insèrent quelques lignes de JavaScript—connues sous le nom de "loader"—dans le code du site web. Lorsqu'un visiteur ouvre la page infectée, le loader se connecte discrètement à la blockchain et récupère des logiciels malveillants depuis un serveur distant. EtherHiding sur BNB Chain et Ethereum. Source : Google Threat Intelligence Group Le GTIG a souligné que cette attaque ne laisse souvent aucune trace de transaction visible et nécessite peu ou pas de frais car elle se produit off-chain. Cela permet essentiellement aux attaquants d'opérer sans être détectés. Notamment, le GTIG a retracé la première instance d'EtherHiding à septembre 2023, lorsqu'elle est apparue dans une campagne connue sous le nom de CLEARFAKE, qui trompait les utilisateurs avec de fausses invites de mise à jour du navigateur. Comment prévenir l'attaque Les chercheurs en cybersécurité affirment que cette tactique signale un changement dans la stratégie numérique de la Corée du Nord, passant du simple vol de cryptomonnaie à l'utilisation de la blockchain elle-même comme arme furtive. "EtherHiding représente un changement vers l'hébergement à l'épreuve des balles de nouvelle génération, où les caractéristiques inhérentes à la technologie blockchain sont réutilisées à des fins malveillantes. Cette technique souligne l'évolution continue des cybermenaces à mesure que les attaquants s'adaptent et tirent parti des nouvelles technologies à leur avantage", a déclaré le GTIG. John Scott-Railton, chercheur principal chez Citizen Lab, a décrit EtherHiding comme une "expérience à un stade précoce". Il a averti que sa combinaison avec l'automatisation pilotée par l'IA pourrait rendre les futures attaques beaucoup plus difficiles à détecter. "Je m'attends à ce que les attaquants expérimentent également le chargement direct d'exploits à zéro clic sur les blockchains ciblant des systèmes et des applications qui traitent les blockchains... surtout s'ils sont parfois hébergés sur les mêmes systèmes et réseaux qui gèrent les transactions / ont des portefeuilles", a-t-il ajouté. Ce nouveau vecteur d'attaque pourrait avoir de graves implications pour l'industrie crypto, étant donné que les attaquants nord-coréens sont particulièrement prolifiques. Les données de TRM Labs montrent que les groupes liés à la Corée du Nord ont déjà volé plus de 1,5 milliard de dollars en actifs crypto cette année seulement. Les enquêteurs pensent que ces fonds aident à financer les programmes militaires de Pyongyang et ses efforts pour échapper aux sanctions internationales. Compte tenu de cela, le GTIG a conseillé aux utilisateurs de crypto de réduire leur risque en bloquant les téléchargements suspects et en limitant les scripts web non autorisés. Le groupe a également exhorté les chercheurs en sécurité à identifier et à étiqueter le code malveillant intégré dans les réseaux blockchain.