PAS OP! Noord-Koreaanse hackers verstoppen malware in smart contracts: Wat is EtherHiding?

Noord-Koreaanse hackers hebben een nieuwe, slinkse manier gevonden om malware te verspreiden en crypto te stelen: EtherHiding. Deze blockchain-gebaseerde methode gebruikt smart contracts om kwaadaardige code, zoals JavaScript Payloads, te verbergen.

Experts van Google’s Threat Intelligence Group (GTIG) ontdekten dat Noord-Koreaanse cybercriminelen deze techniek inzetten, een primeur voor een actor van deze schaal. Wat maakt EtherHiding zo gevaarlijk? En waarom is het zo lastig te bestrijden? We duiken erin.

Volgens GTIG, die de hackersgroep UNC5342 sinds februari 2025 volgt, transformeert EtherHiding de blockchain in een robuuste command-and-control (C2)-infrastructuur.

In tegenstelling tot traditionele servers, die relatief makkelijk geblokkeerd of verwijderd kunnen worden, is deze methode veel taaier.

De decentrale aard van blockchain maakt het voor beveiligingsbedrijven en autoriteiten vrijwel onmogelijk om de kwaadaardige code offline te halen. Dit maakt EtherHiding een geduchte tool voor cybercriminelen.

De Noord-Koreanen koppelen deze techniek aan een social engineering-campagne, bekend als Contagious Interview, die Palo Alto Networks al langer volgt. Hierbij richten de hackers zich op werkzoekenden en mensen met toegang tot crypto of gevoelige inloggegevens.

Ze gebruiken een nieuwe malwareloader, XORIndex, die al duizenden downloads heeft verzameld. Het doel? Gevoelige data en digitale activa stelen, en zelfs toegang krijgen tot bedrijfsnetwerken.

De Contagious Interview-campagne is geraffineerd. Hackers bootsen legitieme wervingsprocessen na met nepbedrijven en neprecruiters. Slachtoffers, vaak developers in de crypto- of techsector, worden via platforms zoals Telegram of Discord gelokt.

Daar krijgen ze ogenschijnlijk onschuldige codeertests of softwaredownloads voorgeschoteld, die in werkelijkheid malware zoals JADESNOW of een JavaScript-variant van INVISIBLEFERRET bevatten. Deze malware, samen met BEAVERTAIL, infecteert systemen op Windows, Linux en macOS.

Het infectieproces verloopt in fases. Eerst wordt het slachtoffer verleid met een nep-sollicitatie. Vervolgens wordt de malware via een ‘technische test’ geïnstalleerd.

Eenmaal actief steelt de malware crypto, inloggegevens en andere gevoelige data. Het resultaat: talloze cryptodiefstallen en gecompromitteerde systemen.

EtherHiding is een nachtmerrie voor beveiligingsonderzoekers. Doordat de kwaadaardige code in een decentraal smart contract zit, kan niemand – behalve de aanvaller – deze verwijderen of aanpassen.

Blockchaintransacties zijn pseudoniem, wat het traceren van de daders bemoeilijkt. Bovendien kunnen hackers de kwaadaardige payload op elk moment updaten, zonder dat dit opvalt. Zelfs als onderzoekers een kwaadaardig contract markeren, kunnen hackers gewoon doorgaan met hun praktijken.

Een extra complicatie: aanvallers halen hun payloads op via read-only calls, die geen sporen achterlaten op de blockchain. Dit maakt het voor onderzoekers bijna onmogelijk om de activiteiten te volgen.

GTIG noemt EtherHiding een “next-generation bulletproof hosting”, waarbij de kracht van blockchaintechnologie wordt misbruikt voor kwaadaardige doeleinden.

De opkomst van EtherHiding toont aan hoe cybercriminelen steeds creatiever worden in het misbruiken van blockchain. Voor de cryptosector is dit een wake-upcall. Ontwikkelaars en cryptobezitters moeten extra waakzaam zijn, vooral bij onverwachte sollicitatieprocessen of downloads.

Beveiligingsbedrijven staan momenteel voor een uitdaging: traditionele methodes om malware te blokkeren werken niet tegen decentrale systemen. Het is een kat-en-muisspel waarin de hackers, voor nu, een voorsprong lijken te hebben.