هاكرز DPRK يستخدمون تقنية "EtherHiding" لاستضافة البرمجيات الخبيثة على شبكتي Ethereum وBNB: Google

حذرت مجموعة Google’s Threat Intelligence من أن كوريا الشمالية تستخدم EtherHiding—وهو برنامج ضار يختبئ في العقود الذكية على البلوكشين ويتيح سرقة العملات المشفرة—في عملياتها السيبرانية، مع توقع أن يكون عام 2025 عامًا قياسيًا في سرقات العملات الرقمية من قبل هذه الدولة المارقة.

على الرغم من أن باحثي Google ذكروا أن EtherHiding قد استُخدم من قبل جهات تهديد ذات دوافع مالية تستغل البلوكشين لتوزيع برامج سرقة المعلومات منذ سبتمبر 2023 على الأقل، إلا أن هذه هي المرة الأولى التي يلاحظون فيها استخدامه من قبل دولة. ويتميز هذا البرنامج الضار بمقاومته الشديدة لطرق الإيقاف والحجب التقليدية.

قال الباحثون في منشور على المدونة: "يقدم EtherHiding تحديات جديدة حيث أن الحملات التقليدية عادة ما كانت تتوقف عن طريق حجب النطاقات وعناوين IP المعروفة"، مشيرين إلى أن العقود الذكية على BNB Smart Chain وEthereum قد استُخدمت لاستضافة الشيفرة الخبيثة. وأضافوا أن مؤلفي البرامج الضارة يمكنهم "الاستفادة من البلوكشين لتنفيذ مراحل إضافية من نشر البرامج الضارة، حيث تعمل العقود الذكية بشكل مستقل ولا يمكن إيقافها".

وأشاروا إلى أنه بينما يمكن للباحثين الأمنيين تنبيه المجتمع من خلال وسم عقد ما بأنه خبيث على ماسحات البلوكشين الرسمية، "إلا أنه لا يزال من الممكن تنفيذ الأنشطة الخبيثة".

تهديد القرصنة الكورية الشمالية

سرق قراصنة كوريا الشمالية أكثر من 2 مليار دولار حتى الآن هذا العام، معظمها من هجوم بقيمة 1.46 مليار دولار على منصة Bybit في فبراير، وذلك وفقًا لتقرير صدر في أكتوبر عن شركة تحليل البلوكشين Elliptic.

كما تم تحميل كوريا الشمالية مسؤولية هجمات على LND.fi وWOO X وSeedify، بالإضافة إلى ثلاثين هجومًا آخر، ليصل إجمالي المبالغ المسروقة من قبل الدولة حتى الآن إلى أكثر من 6 مليارات دولار. ووفقًا لوكالات الاستخبارات، تساعد هذه الأموال في تمويل برامج الأسلحة النووية والصواريخ في البلاد.

ومن خلال مزيج من الهندسة الاجتماعية، ونشر البرامج الضارة، والتجسس السيبراني المتطور، طورت كوريا الشمالية مجموعة من الأساليب للوصول إلى الأنظمة المالية أو البيانات الحساسة للشركات. وقد أثبت النظام استعداده للذهاب إلى أبعد الحدود لتحقيق ذلك، بما في ذلك إنشاء شركات وهمية واستهداف المطورين بعروض عمل مزيفة.

تُظهر الحالات التي أبلغت بها Decrypt أيضًا أن مجموعات القرصنة الكورية الشمالية توظف الآن غير كوريين ليكونوا واجهة لهم لمساعدتهم في اجتياز المقابلات للحصول على وظائف في شركات التكنولوجيا والعملات الرقمية، مع تزايد حذر أصحاب العمل من الكوريين الشماليين الذين يتظاهرون بأنهم من دول أخرى أثناء المقابلات. كما يمكن للمهاجمين استدراج الضحايا إلى اجتماعات فيديو أو تسجيلات بودكاست وهمية على منصات تعرض بعد ذلك رسائل خطأ أو تطالب بتنزيل تحديثات تحتوي على شيفرة خبيثة.

استهدف قراصنة كوريا الشمالية أيضًا البنية التحتية التقليدية للويب، حيث قاموا بتحميل أكثر من 300 حزمة شيفرة خبيثة إلى سجل npm، وهو مستودع برمجيات مفتوح المصدر يستخدمه ملايين المطورين لمشاركة وتثبيت برامج JavaScript.

كيف يعمل EtherHiding؟

تتبع أحدث تحول لكوريا الشمالية ليشمل EtherHiding في ترسانتها إلى فبراير 2025، ومنذ ذلك الحين قالت Google إنها تتبعت UNC5342—وهي جهة تهديد كورية شمالية مرتبطة بمجموعة القرصنة FamousChollima—وهي تدمج EtherHiding في حملتها الهندسية الاجتماعية Contagious Interview.

يتضمن استخدام برنامج EtherHiding الضار تضمين شيفرة خبيثة في العقود الذكية على البلوكشينات العامة، ثم استهداف المستخدمين عبر مواقع WordPress تم حقنها بجزء صغير من شيفرة JavaScript.

شرح باحثو Google: "عندما يزور المستخدم الموقع المخترق، ينفذ برنامج التحميل النصي في متصفحه". "يتواصل هذا البرنامج النصي بعد ذلك مع البلوكشين لاسترداد الحمولة الخبيثة الرئيسية المخزنة في خادم بعيد."

وأضافوا أن البرنامج الضار ينفذ استدعاء وظيفة للقراءة فقط (مثل eth_call)، والتي لا تنشئ معاملة على البلوكشين. "يضمن ذلك أن يكون استرداد البرنامج الضار خفيًا ويتجنب رسوم المعاملات (أي رسوم الغاز)"، كما أشاروا. "بمجرد جلبها، يتم تنفيذ الحمولة الخبيثة على جهاز الضحية. يمكن أن يؤدي ذلك إلى أنشطة خبيثة متنوعة، مثل عرض صفحات تسجيل دخول مزيفة، أو تثبيت برامج سرقة المعلومات، أو نشر برامج الفدية."

حذر الباحثون من أن هذا "يبرز التطور المستمر" لتكتيكات مجرمي الإنترنت. "في جوهره، يمثل EtherHiding تحولًا نحو استضافة الجيل التالي المقاومة للإيقاف، حيث يُعاد توظيف الميزات الجوهرية لتقنية البلوكشين لأغراض خبيثة."