据谷歌威胁情报组消息,朝鲜黑客已采用一种新型攻击手法,将窃取加密货币和敏感信息的恶意代码嵌入公共区块链网络的智能合约内。
谷歌指出,这项名为“EtherHiding”的技术于2023年出现,通常结合社会工程学手段使用,例如通过虚假招聘信息、高端访谈联系受害者,引导用户访问恶意网站或链接。
黑客会用加载脚本控制合法网站地址,并将JavaScript代码嵌入其中。当用户与受感染网站进行交互时,智能合约中的另一组恶意代码就会被触发,从而窃取资金和数据。
谷歌研究人员表示,受感染网站会通过“只读调用”与区块链网络通信,这不会在账本上生成交易,有助于攻击者规避检测并节省交易费用。
报告强调,加密货币社区需保持警觉,防范常见的诈骗和攻击手法,保护个人和机构的资金及信息安全。
识别迹象:朝鲜社交工程攻击活动解析
谷歌表示,威胁者会设立虚假公司、招聘机构和虚假个人资料,专门针对软件及加密货币开发者发布虚假招聘信息。
在初步接触后,攻击者会将交流转至Discord或Telegram等消息平台,并让受害者参加就业测试或完成编程任务。
谷歌威胁情报组表示,攻击的核心发生在技术评估阶段。在此阶段,受害者通常会被要求从GitHub等在线代码库下载恶意负载,恶意负载即存储于此。
在其他情况下,攻击者会诱导受害者进入视频通话,展示伪造的错误提示,要求下载补丁以修复错误。该补丁同样携带恶意代码。
恶意软件安装后,攻击者会部署第二阶段的JavaScript恶意程序“JADESNOW”,用于窃取敏感数据。
谷歌警告称,对于高价值目标,攻击者有时还会实施第三阶段攻击,实现对被感染设备及其网络连接系统的长期访问。