🔍 Подробности о том, что они обнаружили
Согласно команде разведки угроз Google Threat Intelligence Group (GTIG), было замечено, что UNC5342 с февраля 2025 года начал кампании, где использует EtherHiding для хранения зашифрованных «payloads» вредоносных внутри смарт-контрактов или транзакций в Ethereum/BNB.
В этом способе действий:
Нападатели создают фальшивые «предложения о работе», связываются с разработчиками или людьми в блокчейн-пространстве через LinkedIn или другие платформы.
Жертвы загружают файлы, как будто это часть технического задания или собеседования; эти файлы содержат вредоносные «загрузчики», которые при выполнении запрашивают смарт-контракт, который предоставляет следующий вредоносный шаг.
Код не атакует непосредственно саму блокчейн, чтобы стать «вирусом на каждом узле», а использует блокчейн как инфраструктуру «командования и управления» (C2) для отправки или доставки payloads к зараженным системам.
Одна статья указывает, что это «первый случай, когда наблюдается государственный актор, использующий эту технику EtherHiding» на публичной блокчейн.
⚙️ Что это значит для криптоэкосистемы?
✅ Обеспокоенность / последствия
То, что вредоносное ПО использует публичный блокчейн для хранения инструкций, означает, что инфраструктуру очень трудно разрушить или цензурировать, поскольку смарт-контракты не удаляются легко, а хранящиеся данные остаются неизменными. Это может усложнить меры по смягчению последствий.
Тот факт, что целями являются разработчики Web3, люди из блокчейн-экосистемы и что вектор — это «предложение о работе / техническое собеседование», предполагает, что актеры стремятся проникнуть внутрь криптоэкосистемы, что создает риск для проектов, бирж, кошельков и т.д.
Для обычных пользователей криптовалюты: угроза заключается не в том, что их обычный кошелек «взламывается блокчейном» как таковым, а в том, что они могут попасть в ловушки (фишинг, вредоносные загрузки), которые затем используют инфраструктуру блокчейн для углубления атаки.
Этот тип отчета может повлиять на чувство безопасности в экосистеме, что может иметь косвенные последствия для потока капитала, доверия к новым проектам и т.д.
⚠️ Аспекты, которые не следует неверно интерпретировать
Это не означает, что блокчейн Ethereum «инфицирован» на всех узлах или что каждая транзакция опасна; это случай злонамеренного использования инфраструктуры блокчейн как средства, а не обязательно что все взаимодействия небезопасны.
Техника требует, чтобы жертва что-то сделала: запустила вредоносный файл, перешла по ссылке, установила что-то. Таким образом, это все еще вектор социальной инженерии, а не «автоматический взлом» блокчейн-сети для всех пользователей.
Хотя это продвинутая и тревожная техника, это не обязательно подразумевает, что все проекты, которые говорят «совместимы с блокчейн», скомпрометированы или что существует неминуемое падение криптовалют. Это дополнительный риск, за которым нужно следить.
🔮 Эта новость важна для криптоэкосистемы из-за того, что она раскрывает о развитии угроз и усложнении действий государственных актеров.
Иметь очень высокая степень осторожности с предложениями по работе, ссылками, загрузками, связанными с криптовалютой. Особенно если они включают «технические испытания» или «разработка Web3» и требуют установить что-то локально.
Убедитесь, что используете безопасные кошельки, избегайте неизвестного программного обеспечения и соблюдайте надежные практики безопасности (аутентификация, проверка кода, который вы устанавливаете, и т.д.).
Для проектов или платформ обратите внимание на то, что блокчейн может участвовать в инфраструктуре атаки, что требует оценки безопасности не только за пределами смарт-контракта, но также и на стороне клиента, интерфейсе пользователя, процессе регистрации и т.д.
