Aktor Ancaman Korea Utara dan EtherHiding
Aktor ancaman dari Korea Utara telah mengadopsi teknik berbasis blockchain yang dikenal sebagai EtherHiding untuk menyebarkan malware yang dirancang untuk mencuri cryptocurrency, termasuk XRP. Menurut laporan dari Grup Intelijen Ancaman Google, ini merupakan kali pertama mereka mengamati aktor negara menggunakan metode ini.
Metode EtherHiding
Metode EtherHiding menyisipkan payload JavaScript berbahaya ke dalam kontrak pintar di blockchain untuk menciptakan server komando dan kontrol yang tahan banting. Teknik ini menargetkan pengembang di sektor cryptocurrency dan teknologi melalui kampanye rekayasa sosial yang dikenal sebagai “Contagious Interview”. Kampanye ini telah menyebabkan banyak pencurian cryptocurrency yang berdampak pada pemegang XRP dan pengguna aset digital lainnya.
Keberadaan Kode Berbahaya
EtherHiding menyimpan kode berbahaya di blockchain yang terdesentralisasi dan tanpa izin, sehingga menghilangkan keberadaan server pusat yang dapat ditutup oleh penegak hukum atau perusahaan keamanan siber. Penyerang yang mengendalikan kontrak pintar dapat memperbarui payload berbahaya kapan saja, mempertahankan akses yang persisten ke sistem yang terkompromi. Meskipun peneliti keamanan dapat menandai kontrak sebagai berbahaya di pemindai blockchain seperti BscScan, aktivitas berbahaya tetap berlanjut meskipun ada peringatan tersebut.
Pergeseran Menuju Hosting Tahan Peluru
Laporan Google menggambarkan EtherHiding sebagai “pergeseran menuju hosting tahan peluru generasi berikutnya,” di mana fitur teknologi blockchain memungkinkan tujuan berbahaya.
Ketika pengguna berinteraksi dengan situs yang terkompromi, kode berbahaya diaktifkan untuk mencuri XRP, cryptocurrency lainnya, dan data sensitif. Situs yang terkompromi berkomunikasi dengan jaringan blockchain menggunakan fungsi baca-saja, sehingga menghindari pembuatan transaksi di buku besar, yang meminimalkan deteksi dan biaya transaksi.
Kampanye Contagious Interview
Kampanye Contagious Interview berfokus pada taktik rekayasa sosial yang meniru proses perekrutan yang sah melalui perekrut palsu dan perusahaan fiktif. Perekrut palsu menarik kandidat ke platform seperti Telegram atau Discord, kemudian menyebarkan malware melalui tes pengkodean yang menipu atau unduhan perangkat lunak palsu yang disamarkan sebagai penilaian teknis.
Kampanye ini menggunakan infeksi malware multi-tahap, termasuk varian JADESNOW, BEAVERTAIL, dan INVISIBLEFERRET, yang mempengaruhi sistem Windows, macOS, dan Linux. Korban percaya bahwa mereka sedang berpartisipasi dalam wawancara kerja yang sah, sementara tanpa disadari mengunduh malware yang dirancang untuk mendapatkan akses persisten ke jaringan perusahaan dan mencuri kepemilikan cryptocurrency.
