Nordkorea nutzt Blockchain-Technologie für Malware-Angriffe

Die Google Threat Intelligence Group (GTIG) hat den ersten bekannten Fall dokumentiert, in dem ein nationalstaatlicher Akteur die sogenannte „EtherHiding“-Technik einsetzt. Die nordkoreanische Bedrohungsgruppe UNC5342 nutzt seit Februar 2025 diese Methode, um Malware zu verbreiten und Kryptowährungen zu stehlen.

EtherHiding funktioniert, indem Angreifer bösartigen Code in Smart Contracts auf öffentlichen Blockchains wie der BNB Smart Chain oder Ethereum speichern. Diese Blockchains dienen dann als dezentrale und hochresistente Command-and-Control-Server. Die Technik wurde erstmals im September 2023 in der finanziell motivierten CLEARFAKE-Kampagne der Gruppe UNC5142 beobachtet, die gefälschte Browser-Update-Aufforderungen verwendete.

Der typische Angriffsverlauf beginnt mit einer initialen Kompromittierung durch Social Engineering. Anschließend injizieren die Angreifer einen kleinen JavaScript-Code in kompromittierte Websites. Wenn Nutzer diese Seiten besuchen, lädt der Code die eigentliche Malware von der Blockchain herunter. Dabei verwenden die Angreifer Read-only-Funktionsaufrufe, die keine Transaktionen auf der Blockchain erzeugen und somit heimlich und kostenfrei ablaufen.

Ausgeklügelte Rekrutierungstäuschung

UNC5342 bettet EtherHiding in eine ausgeklügelte Social-Engineering-Kampagne ein, die von Palo Alto Networks als „Contagious Interview“ bezeichnet wird. Die Kampagne verfolge zwei strategische Ziele: den Diebstahl von Kryptowährungen zur Umgehung internationaler Sanktionen und Spionage durch die Kompromittierung von Entwicklern in Technologieunternehmen.

Die Angreifer erstellen überzeugende, aber gefälschte Profile auf Plattformen wie LinkedIn und geben sich als Personalvermittler bekannter Tech- oder Kryptowährungsunternehmen aus. In einigen Fällen richten sie sogar komplette gefälschte Firmen-Websites und Social Media-Präsenzen für Unternehmen wie „BlockNovas LLC“, „Angeloper Agency“ und „SoftGlideLLC“ ein. Sie kontaktieren gezielt potenzielle Opfer, insbesondere Software- und Webentwickler, mit attraktiven Stellenangeboten.

Der Kern des Angriffs erfolgt während einer technischen Bewertungsphase. Die Kandidaten werden aufgefordert, einen Programmiertest durchzuführen oder ein Projekt zu überprüfen, was das Herunterladen von Dateien aus Repositories wie GitHub erfordert. Diese Dateien enthalten bösartigen Code. In anderen Varianten werden Kandidaten zu einem Videointerview eingeladen und mit einer gefälschten Fehlermeldung konfrontiert, die sie dazu bringt, eine angebliche „Reparatur“ oder spezielle Software herunterzuladen, die tatsächlich Malware ist.

Mehrstufige Malware-Infektion

Die Kampagne verwendet einen mehrstufigen Malware-Infektionsprozess, der Windows-, macOS- und Linux-Systeme betrifft. Als initialer Downloader dient oft JADESNOW, eine JavaScript-basierte Malware, die über das npm-Registry verbreitet wird. Diese sammelt erste Systeminformationen und lädt die nächste Malware-Stufe herunter.

Als zweite Stufe setzen die Angreifer Malware wie BEAVERTAIL oder JADESNOW ein. Diese JavaScript-basierte Schadsoftware durchsucht das System nach sensiblen Daten, insbesondere Kryptowährungs-Wallets, Browser-Erweiterungsdaten und Anmeldedaten. JADESNOW nutzt EtherHiding, um eine JavaScript-Variante von INVISIBLEFERRET als dritte Stufe zu laden.

JADESNOW unterscheidet sich von ähnlichen Kampagnen wie CLEARFAKE. Während CLEARFAKE als bösartiges JavaScript-Framework fungiert und sich oft als Google Chrome-Browser-Update-Popup auf kompromittierten Websites tarnt, wird JADESNOW gezielt in Social Engineering-Kampagnen eingesetzt. Ungewöhnlich sei, dass UNC5342 mehrere Blockchains für EtherHiding verwende, was auf eine operative Trennung zwischen verschiedenen Teams nordkoreanischer Cyber-Operateure hindeuten könnte.

Die finale Payload INVISIBLEFERRET.JAVASCRIPT stellt eine Verbindung zum Command-and-Control-Server über Port 3306 her, den Standard-Port für MySQL. Sie sendet einen ersten Beacon mit dem Hostnamen, Benutzernamen, Betriebssystem und dem aktuellen Verzeichnis des Opfers. Die Backdoor läuft im Hintergrund und wartet auf eingehende Befehle, die willkürliche Befehlsausführung, Verzeichniswechsel und die Exfiltration von Dateien und Verzeichnissen ermöglichen.

Blockchain-Analyse deckt Infrastruktur auf

Die Google-Forscher analysierten die Blockchain-Aktivitäten der Angreifer im Detail. Der initiale Downloader fragt die BNB Smart Chain über verschiedene API-Anbieter ab, um die JADESNOW-Payload aus dem Smart Contract mit der Adresse 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c zu lesen. Die Transaktionshistorie zeige, dass dieser Vertrag innerhalb der ersten vier Monate über 20 Mal aktualisiert wurde, wobei jede Aktualisierung durchschnittlich 1,37 US-Dollar an Gas-Gebühren kostete.

Die niedrigen Kosten und die Häufigkeit dieser Updates veranschaulichen die Fähigkeit der Angreifer, die Konfiguration ihrer Kampagne einfach zu ändern. Dieser Smart Contract wurde auch mit einem Software-Supply-Chain-Angriff in Verbindung gebracht, der React Native Aria und GlueStack über kompromittierte npm-Pakete im Juni 2025 betraf.

Die Analyse der On-Chain-Aktivitäten zeigt, dass die verschlüsselten Nachrichten Base64-kodiert und XOR-verschlüsselt sind. Diese entschlüsseln sich zu stark verschleierten JavaScript-Payloads, die als zweite Stufe des JADESNOW-Downloaders bewertet werden. Bemerkenswert ist der Wechsel zu verschiedenen Netzwerken: Die Angreifer verwenden keinen Ethereum Smart Contract zur Payload-Speicherung, sondern führen GET-Anfragen durch, um die Transaktionshistorie ihrer kontrollierten Adresse abzufragen.

Zentrale Schwachstellen trotz Dezentralisierung

Obwohl Blockchains dezentral und unveränderlich sind, nutzen sowohl UNC5342 als auch UNC5142 zentralisierte Dienste für die Interaktion mit den Blockchains. Diese zentralisierten Vermittler stellen Beobachtungs- und Kontrollpunkte dar, an denen der Verkehr überwacht und bösartige Aktivitäten durch Blockierung oder Kontosperrungen bekämpft werden können.

Die Bedrohungsakteure zeigen zwei verschiedene Ansätze: UNC5142 verwendet RPC-Endpunkte für die direkte Kommunikation mit BNB Smart Chain-Knoten, während UNC5342 API-Dienste nutzt, die als Abstraktionsschicht zwischen dem Bedrohungsakteur und der Blockchain fungieren. Als die Google-Forscher die verantwortlichen API-Dienstanbieter kontaktierten, reagierten diese schnell auf die bösartige Aktivität, jedoch blieben mehrere andere Plattformen unresponsive.

Schutzmaßnahmen und Empfehlungen

Google empfiehlt Chrome Enterprise als wirksames Werkzeug zur Verhinderung von EtherHiding-Angriffen. Die zentralisierten Verwaltungsfunktionen ermöglichen es Administratoren, Richtlinien durchzusetzen, die die Angriffskette direkt unterbrechen. Die DownloadRestrictions-Richtlinie kann so konfiguriert werden, dass Downloads gefährlicher Dateitypen wie .exe, .msi, .bat und .dll blockiert werden, wodurch die bösartige Payload nicht auf dem Computer des Benutzers gespeichert werden kann.

Da EtherHiding stark auf Social Engineering setzt, insbesondere durch Pop-ups, die behaupten „Ihr Chrome ist veraltet“, sollten Administratoren verwaltete Updates verwenden. Chrome Enterprise ermöglicht es, Browser-Updates automatisch und im Hintergrund zu verwalten. Mitarbeiter können mit einer einfachen Botschaft geschult werden: „Sie werden niemals aufgefordert, Chrome manuell zu aktualisieren.“

Zusätzliche Schutzmaßnahmen umfassen URL-Blocklisten zur Sperrung bekannter bösartiger Websites und die Durchsetzung von Googles Safe Browsing im erweiterten Modus. Während Sicherheitsforscher versuchen, die Gemeinschaft durch das Markieren von Verträgen als bösartig auf offiziellen Blockchain-Scannern zu warnen, können bösartige Aktivitäten weiterhin durchgeführt werden, da Smart Contracts autonom arbeiten und nicht abgeschaltet werden können.

Quelle

Weitere Artikel zum Thema: 

Nordkorea nutzt Blockchain-Technologie für Malware-Angriffe

Ransomware-Szene im Umbruch: Aktuelle Entwicklungen und wichtige Trends

Wie die Blockchain die Compliance von DMS pusht