Experternas varning: Ditt jobbtest kan vara en fälla

Gör-det-själv-värd som inte kan manipuleras

Sedan februari har Google-forskare observerat två grupper som använder en nyare teknik för att infektera mål med program för stöld av inloggningsuppgifter och andra former av skadlig kod.

Metoden, känd som EtherHiding, bäddar in den skadliga koden i smarta kontrakt, som i huvudsak är applikationer som finns på blockkedjor för Ethereum och andra kryptovalutor. Två eller flera parter ingår sedan ett avtal som anges i kontraktet.

När vissa villkor är uppfyllda verkställer apparna kontraktsvillkoren på ett sätt som, åtminstone teoretiskt, är oföränderligt och oberoende av någon central myndighet.

”I huvudsak representerar EtherHiding ett skifte mot nästa generations skottsäkra värdskap, där de inneboende funktionerna i blockkedjetekniken återanvänds för illvilliga ändamål”, skrev Google-forskarna Blas Kojusner, Robert Wallace och Joseph Dobson.

De lade till att ”Denna teknik understryker cyberhotens kontinuerliga utveckling i takt med att angripare anpassar sig och utnyttjar ny teknik till sin fördel.”

EtherHiding har ett brett utbud av fördelar jämfört med mer traditionella sätt att leverera skadlig kod, vilket utöver skottsäker värdskap inkluderar utnyttjande av komprometterade servrar.

• Decentraliseringen förhindrar nedtagningar av de skadliga smarta kontrakten eftersom mekanismerna i blockkedjorna hindrar borttagning av alla sådana kontrakt.
• Oföränderligheten i kontrakten förhindrar borttagning eller manipulering av den skadliga koden av någon.
• Transaktioner på Ethereum och flera andra blockkedjor är i praktiken anonyma, vilket skyddar hackarnas identiteter.
• Hämtning av skadlig kod från kontrakten lämnar inga spår av åtkomsten i händelseloggar, vilket ger smygförmåga.
• Angriparna kan uppdatera skadliga nyttolaster när som helst.

Att skapa eller modifiera smarta kontrakt kostar vanligtvis mindre än 21 svenska kronor per transaktion (motsvarande under 2 dollar), vilket är en enorm besparing i termer av pengar och arbete jämfört med mer traditionella metoder för att leverera skadlig kod.

Social ingenjörskonst för att locka offer

Lager på lager av EtherHiding som Google observerade var en kampanj för social ingenjörskonst som använde rekrytering för falska jobb för att locka mål, varav många var utvecklare av kryptovalutaappar eller andra onlinetjänster.

Under urvalsprocessen måste kandidater utföra ett test som visar deras kodnings- eller kodgranskningsfärdigheter. Filerna som krävs för att slutföra testerna är inbäddade med skadlig kod.

Infektionsprocessen bygger på en kedja av skadlig kod som installeras i steg. Senare steg som ansvarar för att utföra de slutliga nyttolasterna installeras sedan genom smarta kontrakt som hackarna lagrar på blockkedjorna Ethereum och BNB Smart Chain, vilka accepterar uppladdningar från vem som helst.

En av de grupper Google observerade, ett Nordkorea-stött team spårat som UNC5342, använder skadlig kod i ett tidigt skede spårad som JadeSnow för att hämta skadlig kod i ett senare skede från både BNB- och Ethereum-blockkedjorna.

Google-forskarna observerade att: ”Det är ovanligt att se en hotaktör använda flera blockkedjor för EtherHiding-aktivitet; detta kan tyda på operativ uppdelning mellan team av nordkoreanska cyberoperatörer.”

De tillade att kampanjer ofta utnyttjar EtherHidings flexibla natur för att uppdatera infektionskedjan och flytta platser för nyttolastleverans.

Forskarna sade att de också observerade en annan grupp, den ekonomiskt motiverade UNC5142, som också använder EtherHiding.

Nordkoreas förmåga inom hacking ansågs en gång vara av låg kaliber. Under det senaste decenniet har landet genomfört en serie uppmärksammade attackkampanjer som visar växande skicklighet, fokus och resurser.

För två veckor sedan sade blockchain-analysföretaget Elliptic att nationen har stulit kryptovaluta till ett värde av mer än 21 miljarder svenska kronor hittills under 2025 (motsvarande över 2 miljarder dollar).

Läs också:

Toppchef lämnar Apple mitt i storsatsning – flyttar till ärkerivalen. Realtid

Trots tuffare EU-krav: nya laddhybrider slipper skattesmäll. E55

Varning för bluff-SMS som ser ut att komma från Swish. News 55

Nytt vapen mot bränder: Kan spara miljarder. Dagens PS