Kuzey Koreli Hackerlar EtherHiding Yöntemiyle Blockchain Akıllı Sözleşmelerine Kötü Amaçlı Yazılım Gizliyor

Anasayfa » Kuzey Koreli Hackerlar EtherHiding Yöntemiyle Blockchain Akıllı Sözleşmelerine Kötü Amaçlı Yazılım Gizliyor
Blockchain, Siber Güvenlik, Tehdit İstihbaratı
Ekim 16, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Kuzey Koreli Hackerlar EtherHiding Yöntemiyle Blockchain Akıllı Sözleşmelerine Kötü Amaçlı Yazılım Gizliyor

Google Tehdit İstihbarat Grubu (GTIG), UNC5342 adlı Kuzey Kore bağlantılı tehdit aktörlerinin Şubat 2025’ten beri EtherHiding adlı gelişmiş bir teknik kullandığını açıkladı. Bu yöntem, BNB Smart Chain (BSC) ve Ethereum gibi halka açık blok zincirlerindeki akıllı sözleşmelere kötü amaçlı kod gömülmesini sağlıyor. Böylece saldırganlar, merkeziyetsiz ve kaldırılması zor bir “dead drop çözücüsü” oluşturuyor.

Uzun Soluklu Sosyal Mühendislik Kampanyası

Contagious Interview adlı kampanya kapsamında, saldırganlar LinkedIn üzerinden işe alımcı veya yöneticisi kılığına girerek hedeflerle iletişim kuruyor. Sohbetler Telegram veya Discord’a taşındıktan sonra, iş değerlendirmesi bahanesiyle kötü amaçlı kod çalıştırmaları için kurbanlar kandırılıyor. Bu çok aşamalı saldırı zinciri, Windows, macOS ve Linux sistemlerine yönelik npm tabanlı indiriciler, JavaScript veri hırsızları ve Python tabanlı arka kapılar içeriyor.

EtherHiding’in Teknik Ayrıntıları ve Dayanıklılığı

EtherHiding, blok zinciri işlemlerinin takma ad yapısını kullanarak akıllı sözleşmeyi kimin dağıttığını gizliyor ve saldırganların kötü amaçlı yükü düşük maliyetle (ortalama 1,37 dolar gaz ücreti) istedikleri zaman güncellemelerine imkan tanıyor. Bu, tehdit aktörlerine esneklik ve kolluk kuvvetlerinin müdahalesine karşı direnç sağlıyor. Teknik olarak, bu yöntem blockchain teknolojisinin doğuştan gelen özelliklerinin kötüye kullanıldığı yeni nesil bulletproof hosting yaklaşımını temsil ediyor.

Çok Aşamalı Kötü Amaçlı Yazılım Ailesi

Kampanya, npm paketleri şeklinde yayılan ilk indirici, kripto cüzdanları ve kimlik bilgilerini hedefleyen BeaverTail adlı JavaScript veri hırsızı, EtherHiding ile InvisibleFerret’i indiren JADESNOW adlı indirici ve Python tabanlı InvisibleFerret arka kapısından oluşuyor. InvisibleFerret, MetaMask, Phantom gibi kripto cüzdanları ile 1Password gibi parola yöneticilerinden veri çalmak üzere tasarlanmış uzun vadeli bir arka kapı işlevi görüyor.

Bu gelişme, devlet destekli tehdit aktörlerinin siber saldırı tekniklerini evrimleştirerek, yeni teknolojileri kendi avantajlarına uyarladığını ve siber tehdit ortamında ciddi bir tırmanış yaşandığını gösteriyor.

, , , , , , ,