Noord-Korea gebruikt blockchains als onuitwisbare malwarehost

In dit artikel:

Noord-Koreaanse dreigingsactor UNC5342 verspreidt sinds begin 2025 malware via een nieuwe methode die onderzoekers van Google Threat Intelligence EtherHiding noemen. Hierbij worden slimme contracten op openbare blockchains zoals Ethereum en BNB Smart Chain gebruikt om gecodeerde payloads te verbergen en te leveren. De campagne richt zich vooral op ontwikkelaars in de crypto- en technologiesector; slachtoffers worden benaderd met valse vacatures en gevraagd testopdrachten of bestanden te downloaden.

De getroffen bestanden bevatten een JavaScript-loader genaamd JADESNOW die verbinding maakt met het slimme contract op de blockchain, de versleutelde payload ophaalt en ontsleutelt. In de volgende fase wordt een backdoor, INVISIBLEFERRET, geïnstalleerd, waarmee langdurige toegang mogelijk wordt en gegevens of cryptovaluta kunnen worden gestolen. Omdat slimme contracten decentraal, onveranderbaar en moeilijk te verwijderen zijn, fungeert de blockchain hier als een vorm van bulletproof hosting: goedkoop in onderhoud (meestal < $2 om aan te maken of te wijzigen), moeilijk te takelen en met weinig sporen in traditionele logs. Ook financieel gemotiveerde groepen zoals UNC5142 maken volgens Google gebruik van EtherHiding.

Het gebruik van EtherHiding toont hoe Web3-infrastructuur wordt misbruikt als permanent command-and-controlkanaal en sluit aan bij Noord-Korea’s groeiende cyberactiviteiten; Elliptic rapporteert dat het land in 2025 al meer dan $2 miljard aan crypto zou hebben buitgemaakt. Voor organisaties geldt als advies: wees terughoudend bij onbekende vacatures, controleer downloads in sandboxomgevingen, gebruik gedragsgebaseerde detectie en deel indicators of compromise met sectorpartners om deze moeilijk weg te nemen dreiging beter te beteugelen.