谷歌识别朝鲜黑客的新加密货币盗窃方法

谷歌威胁情报组识别到朝鲜黑客采用了一种名为“EtherHiding”的新技术进行加密货币攻击。他们利用复杂的战术欺骗求职者在其设备上安装恶意代码。

根据谷歌的情报组，这些黑客通过在LinkedIn等平台上进行虚假的面试来针对开发者，最终目的是窃取加密货币资产。这种EtherHiding技术使攻击者能够在区块链智能合约中隐藏恶意代码，从而实现去中心化和弹性的恶意软件分发。

谷歌识别朝鲜黑客的新技术

在谷歌威胁情报组的最新调查中，识别出了朝鲜黑客的新型复杂黑客方法。根据报告，该组织最近开始使用“EtherHiding”技术来分发恶意软件和窃取加密货币。

调查小组将这一恶意活动归因于一个被称为UNC5342的威胁集群，该集群被不同的安全公司以不同的名称追踪。谷歌报告称，截至2025年2月，名为UNC5342的威胁集群使用了一种名为EtherHiding的技术。该技术利用嵌入在公共区块链（如Binance Smart Chain（“BSC”）或以太坊）上的智能合约中的恶意代码，创建了一种去中心化和弹性的恶意软件分发方案，难以被禁用。

传染性面试活动

这一名为传染性面试的活动中，攻击者在LinkedIn上冒充招聘人员，意图说服目标执行恶意代码，通常通过宣传面试评估来实现。总体意图是秘密获取敏感数据，窃取加密货币，并破坏开发者的机器，这与朝鲜在网络间谍和经济利益方面的目标一致。

Mandiant的咨询负责人Robert Wallace指出，

“这一发展标志着威胁环境的升级，因为国家级威胁行为者现在正在利用新技术分发对执法打击具有抵抗力的恶意软件，并且可以轻松修改以适应新的活动。”

值得注意的是，这一发展恰逢对Binance创始人赵长鹏（CZ）的加密货币黑客警报。正如之前CoinGabbar报道的，CZ经常收到类似“谷歌可能检测到政府支持的攻击者试图窃取您的密码”的警报。

多阶段感染链

攻击通过多个阶段进行，感染Windows、macOS和Linux系统，使用一系列恶意软件。它从一个伪装的npm包下载器开始，然后部署特定工具：BeaverTail窃取敏感数据，JADESNOW通过以太坊获取额外的有效载荷，而InvisibleFerret则实现远程控制和长期数据盗窃，目标是加密货币钱包和密码管理器。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。