Redazione RHC : 17 Ottobre 2025 11:06
Un gruppo nordcoreano legato alla RPDC ha sviluppato EtherHiding, un metodo per nascondere codice dannoso all’interno di smart contract blockchain pubblici e modificare i payload al volo. Secondo Google Threat Intelligence Group, questa tecnica è stata adottata dal gruppo UNC5342, noto anche come CL-STA-0240 da Palo Alto Networks, DeceptiveDevelopment da ESET e DEVPOPPER da Securonix.
I vettori di attacco sono coerenti con la campagna di lunga data “Contagious Interview” : gli aggressori contattano gli sviluppatori tramite LinkedIn , si spacciano per reclutatori, spostano la conversazione su Telegram o Discord e, con il pretesto di un test, li inducono a eseguire codice dannoso. L’obiettivo è l’accesso non autorizzato alle postazioni di lavoro e il furto di dati e criptovalute.
Google utilizza EtherHiding da febbraio 2025. Il codice è incorporato in uno smart contract sulla BNB Smart Chain o Ethereum, e la catena stessa funge da “dead drop” decentralizzato, un’infrastruttura resistente a cancellazioni e blocchi.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La pseudonimia delle transazioni complica l’attribuzione delle distribuzioni dei contratti e l’indirizzo di controllo può aggiornare il payload in qualsiasi momento (la commissione media per il gas è di circa 1,37 dollari), consentendo un rapido cambiamento di tattica e moduli dannosi. Mandiant sottolinea che l’inclusione di tali meccanismi da parte degli operatori statali aumenta la sopravvivenza delle campagne e accelera il loro adattamento a nuovi obiettivi.
L’infezione è preceduta da un inganno nelle app di messaggistica istantanea. La catena si sviluppa quindi in più fasi, colpendo sia i computer Windows che macOS e Linux. Innanzitutto, viene lanciato un loader primario, mascherato da pacchetto npm. Successivamente, viene attivato BeaverTail, un ladro di JavaScript, che estrae i dati del portafoglio crittografico , i contenuti delle estensioni del browser e le credenziali salvate.
Successivamente arriva JADESNOW, un altro loader JavaScript, che accede a Ethereum per ottenere InvisibleFerret. InvisibleFerret è un porting JavaScript di una backdoor Python precedentemente osservata: garantisce il controllo remoto della macchina e organizza l’estrazione di dati a lungo termine, anche da Meta Mask e Phantom, nonché da gestori di password come 1Password.
Gli hacker stanno anche cercando di installare un interprete Python portatile e di utilizzarlo per lanciare un modulo separato per rubare credenziali archiviate a un indirizzo diverso sulla rete Ethereum. A volte, vengono utilizzate più blockchain contemporaneamente, aumentando la sopravvivenza del canale di distribuzione e complicando le contromisure.
Questo approccio aumenta la resilienza ai blocchi e alle forze dell’ordine, complica l’analisi delle istanze e richiede ai team di difesa di monitorare non solo domini e indirizzi di hosting, ma anche la logica di riferimento degli smart contract, gli indirizzi e le chiamate specifiche ai provider RPC. Per gli sviluppatori presi di mira dagli aggressori su LinkedIn, i rischi sono particolarmente elevati: è più probabile che dispongano di wallet, accesso a repository e infrastrutture di sviluppo e che abbiano installato strumenti compatibili con la supply chain.
L’attacco dimostra un chiaro spostamento verso un uso improprio delle funzionalità della blockchain, come infrastruttura di controllo del malware distribuito. I team di difesa dovrebbero considerare i modelli di transazione, monitorare le chiamate degli smart contract e integrare indicatori relativi agli indirizzi e ai metodi di interazione con BSC ed Ethereum nelle analisi di sicurezza; in caso contrario, identificare e fermare tali catene diventerà sempre più difficile.
RedazioneIl Giubileo 2025 a Roma rappresenta una sfida non solo per la gestione di milioni di pellegrini e turisti, ma anche per la protezione dello spazio aereo urbano. I droni, sempre più diffusi e accessib...
Il 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
