کره شمالی بلاک‌چین را برای هک‌های پنهانی به کار گرفته و به عنوان جویندگان کار ظاهر می‌شود.

کره شمالی بلاکچین را برای حملات مخفیانه تسلیحاتی می‌کند

اولین مورد مستند از پنهان‌سازی بدافزار در قراردادهای هوشمند

گروه تهدید کره‌ای شمالی “فمیوس چولیم” (Famous Chollima) در حال استفاده از فناوری بلاکچین برای پنهان‌سازی payloadهای بدافزار در قراردادهای هوشمند است که اولین مورد مستند از استفاده بازیگران دولتی از تکنیک‌های “اترهایدینگ” (EtherHiding) محسوب می‌شود.

اهداف: جویندگان کار از طریق فرآیندهای مصاحبه جعلی

سیسکو تالوس (Cisco Talos) و گوگل تهدید اینتلیجنس گروپ (Google Threat Intelligence Group) به طور مستقل تأیید کردند که این حملات، جویندگان کار را از طریق فرآیندهای مصاحبه جعلی هدف قرار داده و بدافزاری را منتشر می‌کنند که اطلاعات رمزارزها و اعتبارنامه‌ها را سرقت می‌کند.

ماژول جدید جاوااسکریپت با قابلیت‌های پیشرفته

این گروه یک ماژول جدید جاوااسکریپت منتشر کرده که بدافزارهای بیورتیل (BeaverTail) و اترکوکی (OtterCookie) را ترکیب می‌کند و دارای قابلیت‌های کیلاگینگ و ثبت تصاویر صفحه است. این نرم‌افزار مخرب از طریق یک پکیج Node.js به نام “node-nvm-ssh” در ریپازیتوری رسمی NPM و با ظاهر یک برنامه شطرنج به نام “Chessfi” توزیع شده است.

مستندسازی گوگل از گروه UNC5342

گوگل گروه کره‌ای شمالی UNC5342 را مستند کرده که از فوریه 2025 بدافزار جیداسنو (JADESNOW) و بک‌دورهای اینویزیبل فرت (INVISIBLEFERRET) را در قراردادهای هوشمند روی BNB Smart Chain و اتریوم جاسازی کرده است.

زیرساخت غیرمتمرکز غیرقابل حذف

این تکنیک payloadهای مخرب را روی بلاکچین‌های عمومی ذخیره می‌کند و یک زیرساخت فرمان و کنترل غیرمتمرکز ایجاد می‌نماید که توسط اجرای قانون قابل حذف نیست.

سرقت‌های مالی عظیم برای تأمین برنامه تسلیحاتی

این کشف در حالی صورت می‌گیرد که هکرهای کره شمالی در سال 2024 بیش از 1.3 میلیارد دلار در 47 حادثه و تنها در نیمه اول 2025 حدود 2.2 میلیارد دلار سرقت کرده‌اند که برنامه تسلیحاتی رژیم را از طریق شبکه‌های پیچیده پولشویی تأمین می‌کند.

اترهایدینگ: تبدیل بلاکچین به پلتفرم هاستینگ ضدگلوله

مکانیزم عملکرد

اترهایدینگ payloadهای مخرب جاوااسکریپت را در قراردادهای هوشمند روی بلاکچین‌های عمومی جاسازی می‌کند و دفترکل‌های غیرمتمرکز را به سرورهای فرمان و کنترل مقاوم تبدیل می‌نماید. مهاجمان با استفاده از فراخوانی‌های تابع فقط-خواندنی payloadها را بازیابی می‌کنند که از هزینه تراکنش اجتناب کرده و تاریخچه مرئی بلاکچین بر جای نمی‌گذارد.

مزایای این تکنیک برای مهاجمان

این تکنیک دارای مزایای زیر است:
– ذخیره‌سازی غیرمتمرکز
– جلوگیری از حذف
– تراکنش‌های ناشناس که هویت مهاجم را پنهان می‌کند
– قراردادهای هوشمند تغییرناپذیر که به راحتی قابل حذف نیستند
– امکان به‌روزرسانی payloadها در هر زمان توسط مهاجمان

کمپین “مصاحبه مسری”

گوگل تهدید اینتلیجنس استفاده UNC5342 از اترهایدینگ در کمپین “کانتیجیس اینترویو” (Contagious Interview) را مستند کرده که در آن استخدام‌کنندگان جعلی، شرکت‌هایی مانند کوینبیس و رابین هود را جعل می‌کنند. قربانیان در طول ارزیابی‌های فنی، فایل‌های مخرب را از ریپازیتوری‌های گیت‌هاب دانلود می‌کنند که باعث ایجاد عفونت‌های چندمرحله‌ای می‌شود.

فرآیند بازیابی payload

دانلودر جیداسنو از طریق ارائه‌دهندگان API مانند بین‌پلورر (Binplorer) از BNB Smart Chain پرس‌وجو می‌کند تا payloadها را از آدرس قرارداد هوشمند 0x8ea**8a71c بازیابی نماید. این قرارداد در طول چهار ماه بیش از 20 بار به‌روزرسانی شده و هر به‌روزرسانی به طور میانگین 1.37 دلار هزینه گاز داشته است.

رمزگذاری پیشرفته payloadها

اکسپلوررهای بلاکچین، تراکنش‌های روی زنجیره را نشان می‌دهند که حاوی پیام‌های کدگذاری‌شده Base64 و XOR هستند و پس از رمزگشایی به payloadهای جاوااسکریپت بسیار مبهم تبدیل می‌شوند.

عملکرد بدافزار نهایی

payload نهایی اینویزیبل فرت.جاوااسکریپت از طریق پورت 3306 به سرورهای فرمان و کنترل متصل شده و اطلاعات میزبان قربانی شامل نام میزبان، نام کاربری، سیستم عامل و دایرکتوری جاری را ارسال می‌کند. این بک‌دور قابلیت اجرای دستورات دلخواه، خروج فایل و جمع‌آوری دایرکتوری را داشته و بیش از 80 افزونه مرورگر از جمله متاماسک و فانتوم را هدف قرار می‌دهد.

شرکت‌های جعلی و هویت‌های سرقت‌شده

تأسیس شرکت‌های قانونی با هویت‌های جعلی

اوایل امسال کشف شد که عوامل کره شمالی با استفاده از هویت‌های جعلی، شرکت‌های قانونی آمریکایی تأسیس کرده‌اند تا پیشانی شرکت‌های معتبر ایجاد کنند. محققان سایلنت پوش (Silent Push) دریافتند که شرکت بلاک‌نواس (Blocknovas) به یک زمین خالی در کارولینای جنوبی ثبت شده است.

کمپین “مصاحبه مسری” توسط زیرگروه لازاروس

این شرکت‌ها کمپین “مصاحبه مسری” را راه‌اندازی کردند که یک زیرگروه از گروه لازاروس (Lazarus Group) است و در استقرار بدافزار تخصص دارد.

مستندات زک‌ایکس‌بی‌تی از نفوذ کارگران آی‌تی

زک‌ایکس‌بی‌تی (ZachXBT) حداقل 25 مورد از نفوذ کارگران آی‌تی کره شمالی به شرکت‌های رمزارزی را مستند کرده که تحت بیش از 30 هویت جعلی با کارت‌های شناسایی دولتی و حساب‌های لینکدین حرفه‌ای فعالیت می‌کنند.

هشدارهای چانگ پنگ ژائو

ماه گذشته، بنیانگذار بایننس،