🔍 Szczegóły dotyczące tego, co wykryto
Według zespołu ds. zagrożeń w Google Threat Intelligence Group (GTIG), zaobserwowano, że UNC5342 od lutego 2025 roku rozpoczął kampanie, w których używają EtherHiding do przechowywania zaszyfrowanych "ładunków" złośliwego oprogramowania w ramach inteligentnych kontraktów lub transakcji w Ethereum/BNB.
W tym modus operandi:
Napastnicy tworzą fałszywe "oferty pracy", kontaktują się z deweloperami lub osobami w przestrzeni blockchain za pośrednictwem LinkedIn lub innych platform.
Ofiary pobierają pliki, jakby były częścią testu technicznego lub rozmowy kwalifikacyjnej; te pliki zawierają złośliwe "ładowniki", które po uruchomieniu konsultują inteligentny kontrakt, który dostarcza następny złośliwy krok.
Kod nie atakuje bezpośrednio samej blockchain, aby stać się „wirusem w każdym węźle”, lecz wykorzystuje blockchain jako infrastrukturę „dowodzenia i kontroli” (C2) do wydawania lub dostarczania payloadów do zainfekowanych systemów.
Artykuł wskazuje, że to „pierwszy raz, kiedy obserwuje się aktora państwowego używającego tę technikę EtherHiding” na publicznej blockchain.
⚙️ Co to oznacza dla ekosystemu kryptowalutowego?
✅ Zmartwienia / implikacje
To, że złośliwe oprogramowanie wykorzystuje publiczną blockchain do przechowywania instrukcji, oznacza, że infrastruktura jest bardzo trudna do zniszczenia lub cenzurowania, ponieważ inteligentne kontrakty nie są łatwe do usunięcia, a przechowywane dane pozostają niezmienne. To może skomplikować działania łagodzące.
Fakt, że celem są deweloperzy Web3, osoby z ekosystemu blockchain i że wektorem jest „oferta pracy / rozmowa techniczna” sugeruje, że aktorzy próbują przeniknąć do samego ekosystemu kryptowalutowego, co stanowi zagrożenie dla projektów, giełd, portfeli, itp.
Dla zwykłych użytkowników kryptowalut: zagrożenie nie polega na tym, że ich normalny portfel „jest hackowany przez blockchain” per se, lecz że mogą paść ofiarą oszustw (phishing, złośliwe pobrania), które następnie wykorzystują infrastrukturę blockchain do pogłębienia ataku.
Tego typu raport może wpłynąć na poczucie bezpieczeństwa w ekosystemie, co może mieć pośrednie skutki dla przepływu kapitału, zaufania do nowych projektów, itp.
⚠️ Aspekty, które nie powinny być źle interpretowane
Nie oznacza to, że blockchain Ethereum jest „zainfekowany” we wszystkich węzłach lub że każda transakcja jest niebezpieczna; to przypadek złośliwego wykorzystania infrastruktury blockchain jako medium, niekoniecznie, że każda interakcja jest niebezpieczna.
Technika wymaga, aby ofiara coś zrobiła: uruchomić złośliwy plik, śledzić link, zainstalować coś. Tak więc nadal jest to wektor inżynierii społecznej, a nie „automatyczny hack” sieci blockchain dla wszystkich użytkowników.
Chociaż jest to zaawansowana i niepokojąca technika, nie oznacza to, że wszystkie projekty, które mówią „kompatybilne z blockchain”, są zagrożone lub że istnieje nieuchronny upadek kryptowaluty. To dodatkowe ryzyko, które należy monitorować.
🔮 Ta wiadomość jest ważna dla ekosystemu kryptowalutowego z powodu tego, co ujawnia o ewolucji zagrożeń i wyrafinowaniu aktorów państwowych.
Mieć bardzo wysoka ostrożność z ofertami pracy, linkami, pobraniami związanymi z kryptowalutami. Szczególnie jeśli dotyczą „testów technicznych” lub „rozwoju Web3” i proszą o zainstalowanie czegoś lokalnie.
Upewnij się, że używasz bezpiecznych portfeli, unikaj nieznanego oprogramowania oraz utrzymuj solidne praktyki bezpieczeństwa (uwierzytelnianie, przegląd kodu, który jest instalowany, itp.).
Dla projektów lub platform, zwróć uwagę na to, że blockchain może uczestniczyć w infrastrukturze ataku, co wymaga oceny bezpieczeństwa wykraczającej poza inteligentny kontrakt, także po stronie klienta, interfejsu użytkownika, sposobu onboardingu, itp.
