حذرت مجموعة Threat Intelligence Group التابعة لشركة Google من أن كوريا الشمالية تستخدم برنامج EtherHiding، وهو برنامج ضار يختبئ في blockchain العقود الذكية ويتيح سرقة العملات المشفرة – في عمليات القرصنة الإلكترونية، حيث يبدو أن عام 2025 سيكون عامًا قياسيًا في عمليات سرقة العملات المشفرة التي تقوم بها الدولة المارقة.
على الرغم من أن باحثي Google قالوا إن EtherHiding قد تم استخدامه من قبل جهات تهديد ذات دوافع مالية blockchain لتوزيع برامج سرقة المعلومات منذ سبتمبر 2023 على الأقل، وهذه هي المرة الأولى التي يلاحظون استخدامها من قبل دولة قومية. تقاوم البرامج الضارة بشكل خاص طرق الإزالة والحظر التقليدية.
وقال الباحثون في منشور بالمدونة: “يمثل EtherHiding تحديات جديدة حيث يتم عادةً إيقاف الحملات التقليدية عن طريق حظر النطاقات وعناوين IP المعروفة”، وخص بالذكر العقود الذكية على الويب. سلسلة BNB الذكية و ايثريوم باعتبارها المضيفة للتعليمات البرمجية الضارة. وأضافوا أن مؤلفي البرامج الضارة يمكنهم “الاستفادة من تقنية blockchain لتنفيذ المزيد من مراحل نشر البرامج الضارة نظرًا لأن العقود الذكية تعمل بشكل مستقل ولا يمكن إغلاقها”.
في حين يمكن للباحثين الأمنيين تنبيه المجتمع من خلال وضع علامة على العقد على أنه ضار على الماسحات الضوئية الرسمية لـ blockchain، فقد لاحظوا أنه “لا يزال من الممكن تنفيذ الأنشطة الضارة”.
تهديد القرصنة الكورية الشمالية
سرق المتسللون الكوريون الشماليون أكثر من ملياري دولار حتى الآن هذا العام، معظمها جاء من هجوم بقيمة 1.46 مليار دولار على بورصة العملات المشفرة Bybit في فبراير، وفقًا لتقرير صدر في أكتوبر من قبل شركة تحليلات blockchain Elliptic.
كما تم تحميل كوريا الديمقراطية المسؤولية عن الهجمات على LND.fi وWOO X وSeedify، بالإضافة إلى ثلاثين عملية اختراق أخرى، ليصل إجمالي المبلغ الذي سرقته البلاد حتى الآن إلى أكثر من 6 مليارات دولار. وتساعد هذه الأموال، بحسب وكالات الاستخبارات، في تمويل برامج الأسلحة النووية والصاروخية في البلاد.
وقد طورت كوريا الشمالية، التي تم الحصول عليها من خلال مزيج من الهندسة الاجتماعية ونشر البرامج الضارة والتجسس الإلكتروني المتطور، مزيجًا من التكتيكات للوصول إلى الأنظمة المالية أو البيانات الحساسة للشركات. وقد أثبت النظام أنه على استعداد لبذل جهود كبيرة للقيام بذلك، بما في ذلك إنشاء شركات وهمية واستهداف المطورين بعروض توظيف وهمية.
الحالات المبلغ عنها فك التشفير يُظهر أيضًا أن شركات القرصنة الكورية الشمالية تقوم الآن بتوظيف غير الكوريين لاستخدامهم كواجهات لمساعدتهم في اجتياز المقابلات للحصول على وظائف في شركات التكنولوجيا والعملات المشفرة، حيث أصبح أصحاب العمل أكثر حذرًا من الكوريين الشماليين الذين يتظاهرون بأنهم أشخاص من أماكن أخرى لإجراء المقابلات. يمكن للمهاجمين أيضًا جذب الضحايا إلى اجتماعات الفيديو أو تسجيلات البودكاست المزيفة على الأنظمة الأساسية التي تعرض بعد ذلك رسائل خطأ أو تطالب بتنزيلات التحديث التي تحتوي على تعليمات برمجية ضارة.
واستهدف المتسللون الكوريون الشماليون أيضًا البنية التحتية التقليدية للويب، حيث قاموا بتحميل أكثر من 300 ملف حزم التعليمات البرمجية الضارة إلى سجل npm، وهو مستودع برامج مفتوح المصدر يستخدمه ملايين المطورين لمشاركة برامج JavaScript وتثبيتها.
كيف يعمل EtherHiding؟
تم إرجاع أحدث محور لكوريا الشمالية لتضمين EtherHiding في ترسانتها إلى فبراير 2025، ومنذ ذلك الحين قالت Google إنها تتبعت UNC5342 – ممثل تهديد كوري شمالي مرتبط بجماعة القرصنة في البلاد FamousChollima – ودمج EtherHiding في حملتها للهندسة الاجتماعية Contagious Interview.
يتضمن استخدام البرمجيات الخبيثة EtherHiding تضمين تعليمات برمجية ضارة في العقود الذكية لسلاسل الكتل العامة، ثم استهداف المستخدمين من خلال مواقع WordPress المحقونة بقطعة صغيرة من كود JavaScript.
وأوضح باحثو جوجل: “عندما يزور المستخدم موقع الويب المخترق، يتم تنفيذ البرنامج النصي لبرنامج التحميل في متصفحه”. “يتصل هذا البرنامج النصي بعد ذلك مع blockchain لاسترداد الحمولة الضارة الرئيسية المخزنة في خادم بعيد.”
وأضافوا أن البرامج الضارة تنشر استدعاء دالة للقراءة فقط (مثل eth_call)، والتي لا تنشئ معاملة على blockchain. وأشاروا إلى أن “هذا يضمن أن استرجاع البرامج الضارة يتم بشكل خفي ويتجنب رسوم المعاملات (أي رسوم الغاز)”. “بمجرد جلبها، يتم تنفيذ الحمولة الضارة على كمبيوتر الضحية. ويمكن أن يؤدي ذلك إلى أنشطة ضارة مختلفة، مثل عرض صفحات تسجيل دخول مزيفة، أو تثبيت برامج ضارة لسرقة المعلومات، أو نشر برامج فدية.”
وحذر الباحثون من أن هذا “يؤكد التطور المستمر” لتكتيكات مجرمي الإنترنت. “في جوهر الأمر، يمثل EtherHiding تحولًا نحو الجيل التالي من الاستضافة المضادة للرصاص، حيث يتم إعادة استخدام الميزات المتأصلة في تقنية blockchain لتحقيق أهداف ضارة.”