據谷歌威脅情報組消息,朝鮮駭客已採用一種新型攻擊手法,將竊取加密貨幣和敏感信息的惡意代碼嵌入公共區塊鏈網路的智能合約內。
谷歌指出,這項名為“EtherHiding”的技術於2023年出現,通常結合社會工程學手段使用,例如通過虛假招聘信息、高端訪談聯繫受害者,引導用戶訪問惡意網站或連結。
駭客會用加載腳本控制合法網站地址,並將JavaScript代碼嵌入其中。當用戶與受感染網站進行互動時,智能合約中的另一組惡意代碼就會被觸發,從而竊取資金和數據。
谷歌研究人員表示,受感染網站會通過“只讀調用”與區塊鏈網路通信,這不會在帳本上生成交易,有助於攻擊者規避檢測並節省交易費用。
報告強調,加密貨幣社區需保持警覺,防範常見的詐騙和攻擊手法,保護個人和機構的資金及信息安全。
識別跡象:朝鮮社交工程攻擊活動解析
谷歌表示,威脅者會設立虛假公司、招聘機構和虛假個人資料,專門針對軟體及加密貨幣開發者發布虛假招聘信息。
在初步接觸後,攻擊者會將交流轉至Discord或Telegram等消息平台,並讓受害者參加就業測試或完成程式設計任務。
谷歌威脅情報組表示,攻擊的核心發生在技術評估階段。在此階段,受害者通常會被要求從GitHub等線上代碼庫下載惡意負載,惡意負載即存儲於此。
在其他情況下,攻擊者會誘導受害者進入視頻通話,展示偽造的錯誤提示,要求下載補丁以修復錯誤。該補丁同樣攜帶惡意代碼。
惡意軟體安裝後,攻擊者會部署第二階段的JavaScript惡意程式“JADESNOW”,用於竊取敏感數據。
谷歌警告稱,對於高價值目標,攻擊者有時還會實施第三階段攻擊,實現對被感染設備及其網路連接系統的長期訪問。
