Исследователи Google сообщили о новой киберугрозе, в рамках которой злоумышленники внедряют вредоносный код прямо в блокчейн. Эта технология, изначально созданная для обеспечения прозрачности и безопасности криптовалют, теперь используется для создания «неуязвимой» инфраструктуры кибератак.
Как это работает
Метод получил название EtherHiding. Он основан на использовании смарт-контрактов — автономных программ, работающих в блокчейнах вроде Ethereum или BNB Smart Chain. Вредоносный код внедряется прямо в эти контракты, после чего становится практически неудаляемым: блокчейн по своей природе неизменен и не поддается редактированию.
Исследователи отмечают, что злоумышленники фактически перепрофилировали функции децентрализованных систем — от защиты данных к их злоупотреблению.
Такие контракты позволяют:
- хранить и распространять заражённый код;
- обновлять вредоносное ПО в любой момент;
- получать команды без следов в логах транзакций.
Стоимость подобных операций минимальна — менее $2 за транзакцию, что значительно дешевле традиционных «bulletproof»-сервисов (анонимных хостингов, защищённых от блокировки правоохранителями).
Социальная инженерия и цепочка заражения
Хакеры не ограничиваются лишь технологическими ухищрениями. По данным Google Threat Intelligence Group, злоумышленники активно применяют социальную инженерию: выдают себя за рекрутеров и рассылают разработчикам фальшивые тестовые задания. В загруженных ими файлах скрыт вредоносный код, который устанавливает первичный модуль заражения.
После этого начинается многоэтапная атака: дополнительные вредоносные компоненты загружаются напрямую из смарт-контрактов в Ethereum и BNB Smart Chain. Такой подход позволяет хакерам обходить антивирусы и системы мониторинга, а также менять или обновлять код без риска блокировки.
Кто стоит за атаками
Google связывает одну из наиболее активных группировок, использующих EtherHiding, с КНДР. Группа под кодовым названием UNC5342 применяет специальный загрузчик JadeSnow, который получает вторичные вредоносные файлы из блокчейна. В ходе атак злоумышленники могут переключаться между разными сетями — например, с Ethereum на BNB Smart Chain — чтобы снизить издержки и усложнить отслеживание.
Ещё одна группа — UNC5142, действующая ради финансовой выгоды, также использует эту методику. Исследователи считают, что встраивание вредоносного кода в блокчейн становится новым стандартом среди продвинутых хакеров.
Зачем это нужно хакерам
Главное преимущество EtherHiding — невозможность блокировки. В отличие от обычных серверов, хранящих вредоносный контент, блокчейн не имеет центральной точки контроля, а значит, удалить или заблокировать такие данные нельзя.
Кроме того, технология обеспечивает анонимность, дешевизну и устойчивость к сбоям. Всё это делает её привлекательной для преступных группировок, включая государственно поддерживаемые кибершпионские структуры.
По данным аналитической компании Elliptic, только с начала 2025 года северокорейские хакеры похитили цифровые активы на сумму более 2 миллиардов долларов, что подтверждает рост их технических возможностей и амбиций.
