Una nueva amenaza cibernética está surgiendo desde Corea del Norte mientras sus hackers respaldados por el estado experimentan con la incorporación de código malicioso directamente en las redes blockchain. El Grupo de Inteligencia de Amenazas de Google (GTIG) informó el 17 de octubre que la técnica, llamada EtherHiding, marca una nueva evolución en cómo los hackers ocultan, distribuyen y controlan malware a través de sistemas descentralizados. ¿Qué es EtherHiding? GTIG explicó que EtherHiding permite a los atacantes weaponizar Smart Contracts y blockchains públicas como Blockchain Ethereum y BNB Smart Chain utilizándolas para almacenar cargas maliciosas. Una vez que un fragmento de código se carga en estos ledgers distribuidos, eliminarlo o bloquearlo se vuelve casi imposible debido a su naturaleza inmutable. "Aunque los Smart Contracts ofrecen formas innovadoras de construir aplicaciones descentralizadas, su naturaleza inmutable se aprovecha en EtherHiding para alojar y servir código malicioso de una manera que no puede ser fácilmente bloqueada", escribió GTIG. En la práctica, los hackers comprometen sitios web legítimos de WordPress, a menudo explotando vulnerabilidades sin parchar o credenciales robadas. Después de obtener acceso, insertan algunas líneas de JavaScript—conocidas como "loader"—en el código del sitio web. Cuando un visitante abre la página infectada, el loader se conecta silenciosamente a la blockchain y recupera malware desde un servidor remoto. EtherHiding en BNB Chain y Ethereum. Fuente: Grupo de Inteligencia de Amenazas de Google GTIG señaló que este ataque a menudo no deja rastro visible de transacción y requiere pocas o ninguna comisión porque ocurre fuera de la cadena. Esto, en esencia, permite a los atacantes operar sin ser detectados. Notablemente, GTIG rastreó la primera instancia de EtherHiding a septiembre de 2023, cuando apareció en una campaña conocida como CLEARFAKE, que engañaba a los usuarios con falsas solicitudes de actualización del navegador. Cómo prevenir el ataque Los investigadores de ciberseguridad dicen que esta táctica señala un cambio en la estrategia digital de Corea del Norte, pasando de simplemente robar criptomonedas a usar la blockchain misma como un arma sigilosa. "EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos. Esta técnica subraya la evolución continua de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan las nuevas tecnologías para su ventaja", afirmó GTIG. John Scott-Railton, investigador senior en Citizen Lab, describió EtherHiding como un "experimento en etapa temprana". Advirtió que combinarlo con automatización impulsada por IA podría hacer que los futuros ataques sean mucho más difíciles de detectar. "Espero que los atacantes también experimenten con la carga directa de exploits de cero clics en blockchains dirigidos a sistemas y aplicaciones que procesan blockchains... especialmente si a veces están alojados en los mismos sistemas y redes que manejan transacciones / tienen billeteras", agregó. Este nuevo vector de ataque podría tener graves implicaciones para la industria cripto, considerando que los atacantes norcoreanos son significativamente prolíficos. Los datos de TRM Labs muestran que los grupos vinculados a Corea del Norte ya han robado más de $1.5 mil millones en activos cripto solo este año. Los investigadores creen que esos fondos ayudan a financiar los programas militares de Pyongyang y los esfuerzos para evadir sanciones internacionales. Dado esto, GTIG aconsejó a los usuarios de cripto reducir su riesgo bloqueando descargas sospechosas y restringiendo scripts web no autorizados. El grupo también instó a los investigadores de seguridad a identificar y etiquetar el código malicioso incrustado dentro de las redes blockchain.Una nueva amenaza cibernética está surgiendo desde Corea del Norte mientras sus hackers respaldados por el estado experimentan con la incorporación de código malicioso directamente en las redes blockchain. El Grupo de Inteligencia de Amenazas de Google (GTIG) informó el 17 de octubre que la técnica, llamada EtherHiding, marca una nueva evolución en cómo los hackers ocultan, distribuyen y controlan malware a través de sistemas descentralizados. ¿Qué es EtherHiding? GTIG explicó que EtherHiding permite a los atacantes weaponizar Smart Contracts y blockchains públicas como Blockchain Ethereum y BNB Smart Chain utilizándolas para almacenar cargas maliciosas. Una vez que un fragmento de código se carga en estos ledgers distribuidos, eliminarlo o bloquearlo se vuelve casi imposible debido a su naturaleza inmutable. "Aunque los Smart Contracts ofrecen formas innovadoras de construir aplicaciones descentralizadas, su naturaleza inmutable se aprovecha en EtherHiding para alojar y servir código malicioso de una manera que no puede ser fácilmente bloqueada", escribió GTIG. En la práctica, los hackers comprometen sitios web legítimos de WordPress, a menudo explotando vulnerabilidades sin parchar o credenciales robadas. Después de obtener acceso, insertan algunas líneas de JavaScript—conocidas como "loader"—en el código del sitio web. Cuando un visitante abre la página infectada, el loader se conecta silenciosamente a la blockchain y recupera malware desde un servidor remoto. EtherHiding en BNB Chain y Ethereum. Fuente: Grupo de Inteligencia de Amenazas de Google GTIG señaló que este ataque a menudo no deja rastro visible de transacción y requiere pocas o ninguna comisión porque ocurre fuera de la cadena. Esto, en esencia, permite a los atacantes operar sin ser detectados. Notablemente, GTIG rastreó la primera instancia de EtherHiding a septiembre de 2023, cuando apareció en una campaña conocida como CLEARFAKE, que engañaba a los usuarios con falsas solicitudes de actualización del navegador. Cómo prevenir el ataque Los investigadores de ciberseguridad dicen que esta táctica señala un cambio en la estrategia digital de Corea del Norte, pasando de simplemente robar criptomonedas a usar la blockchain misma como un arma sigilosa. "EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos. Esta técnica subraya la evolución continua de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan las nuevas tecnologías para su ventaja", afirmó GTIG. John Scott-Railton, investigador senior en Citizen Lab, describió EtherHiding como un "experimento en etapa temprana". Advirtió que combinarlo con automatización impulsada por IA podría hacer que los futuros ataques sean mucho más difíciles de detectar. "Espero que los atacantes también experimenten con la carga directa de exploits de cero clics en blockchains dirigidos a sistemas y aplicaciones que procesan blockchains... especialmente si a veces están alojados en los mismos sistemas y redes que manejan transacciones / tienen billeteras", agregó. Este nuevo vector de ataque podría tener graves implicaciones para la industria cripto, considerando que los atacantes norcoreanos son significativamente prolíficos. Los datos de TRM Labs muestran que los grupos vinculados a Corea del Norte ya han robado más de $1.5 mil millones en activos cripto solo este año. Los investigadores creen que esos fondos ayudan a financiar los programas militares de Pyongyang y los esfuerzos para evadir sanciones internacionales. Dado esto, GTIG aconsejó a los usuarios de cripto reducir su riesgo bloqueando descargas sospechosas y restringiendo scripts web no autorizados. El grupo también instó a los investigadores de seguridad a identificar y etiquetar el código malicioso incrustado dentro de las redes blockchain.