S'inscrire

Cybersécurité - 17/10/2025

Des pirates nord-coréens utilisent EtherHiding pour dissimuler des logiciels malveillants dans des contrats intelligents de blockchain.

Hacker utilisant un outil de cybersécurité

Un acteur malveillant lié à la République populaire démocratique de Corée (alias Corée du Nord) a été observé en train d’exploiter la technique EtherHiding pour distribuer des logiciels malveillants et permettre le vol de cryptomonnaie, marquant la première fois qu’un groupe de piratage parrainé par l’État a adopté cette méthode.

L’ activité a été attribuée par Google Threat Intelligence Group (GTIG) à un groupe de menaces qu’il suit sous le nom UNC5342 , également connu sous le nom de CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) et Void Dokkaebi (Trend Micro).

La vague d’attaque fait partie d’une campagne de longue date nommée Contagious Interview , dans laquelle les attaquants approchent des cibles potentielles sur LinkedIn en se faisant passer pour des recruteurs ou des responsables du recrutement, et les incitent à exécuter du code malveillant sous prétexte d’une évaluation d’emploi après avoir déplacé la conversation vers Telegram ou Discord.

L’objectif final de ces efforts est d’obtenir un accès non autorisé aux machines des développeurs, de voler des données sensibles et de siphonner des actifs de cryptomonnaie, ce qui est cohérent avec la double quête de cyberespionnage et de gain financier de la Corée du Nord.

Google a déclaré avoir observé l’UNC5342 incorporant EtherHiding – une approche furtive qui consiste à intégrer du code malveillant dans un contrat intelligent sur une blockchain publique comme BNB Smart Chain (BSC) ou Ethereum – depuis février 2025. Ce faisant, l’attaque transforme la blockchain en un résolveur de dead drop décentralisé qui résiste aux efforts de retrait.

Outre sa résilience, EtherHiding exploite également la nature pseudonyme des transactions blockchain pour compliquer l’identification de l’auteur du contrat intelligent. Pour compliquer encore les choses, cette technique est également flexible : elle permet à l’attaquant qui contrôle le contrat intelligent de mettre à jour la charge utile malveillante à tout moment (au prix moyen de 1,37 $ de frais de gaz), ouvrant ainsi la voie à un large éventail de menaces.

« Cette évolution signale une escalade dans le paysage des menaces, car les acteurs de la menace des États-nations utilisent désormais de nouvelles techniques pour distribuer des logiciels malveillants qui résistent aux opérations de démantèlement des forces de l’ordre et peuvent être facilement modifiés pour de nouvelles campagnes », a déclaré Robert Wallace, responsable conseil chez Mandiant, Google Cloud, dans un communiqué partagé avec The Hacker News.

/>

La chaîne d’infection déclenchée suite à l’attaque d’ingénierie sociale est un processus en plusieurs étapes capable de cibler les systèmes Windows, macOS et Linux avec trois familles de logiciels malveillants différentes –

  • Un téléchargeur initial qui se manifeste sous la forme de packages npm
  • BeaverTail, un voleur JavaScript responsable de l’exfiltration d’informations sensibles, telles que les portefeuilles de crypto-monnaie, les données d’extension de navigateur et les informations d’identification
  • JADESNOW, un téléchargeur JavaScript qui interagit avec Ethereum pour récupérer InvisibleFerret
  • InvisibleFerret, une variante JavaScript de la porte dérobée Python déployée contre des cibles de grande valeur pour permettre le contrôle à distance de l’hôte compromis, ainsi que le vol de données à long terme en ciblant les portefeuilles MetaMask et Phantom et les informations d’identification des gestionnaires de mots de passe comme 1Password

En un mot, l’attaque incite la victime à exécuter un code qui exécute le téléchargeur JavaScript initial qui interagit avec un contrat intelligent BSC malveillant pour télécharger JADESNOW, qui interroge ensuite l’historique des transactions associé à une adresse Ethereum pour récupérer la charge utile de la troisième étape, dans ce cas la version JavaScript d’InvisibleFerret.

Le logiciel malveillant tente également d’installer un interpréteur Python portable pour exécuter un composant de vol d’identifiants supplémentaire stocké à une autre adresse Ethereum. Ces résultats sont significatifs, car l’acteur malveillant utilise plusieurs blockchains pour ses activités d’EtherHiding.

Wallace a déclaré à The Hacker News qu’ils n’avaient pas observé d’acteurs de la RPDC distribuer de faux installateurs (tels que ceux des logiciels de vidéoconférence comme FreeConference , comme cela s’est produit dans le passé) en conjonction avec l’utilisation de contrats intelligents comme intermédiaire pour un code malveillant.

« EtherHiding représente une transition vers un hébergement sécurisé de nouvelle génération, où les fonctionnalités inhérentes à la technologie blockchain sont réutilisées à des fins malveillantes », a déclaré Google. « Cette technique souligne l’évolution constante des cybermenaces, les attaquants s’adaptant et exploitant les nouvelles technologies à leur avantage. »

Sujets récents