La frontiera del malware si sta spostando. Con EtherHiding , gli attacchi informatici abbandonano i server tradizionali e si annidano dentro la blockchain stessa , sfruttando i suoi meccanismi di decentralizzazione per creare un hosting impossibile da rimuovere . Il fenomeno è stato osservato per la prima volta nel 2023 con la campagna CLEARFAKE , e successivamente adottato dal gruppo nordcoreano UNC5342 , noto per le sue operazioni di spionaggio e furto di criptovalute. Smart contract come rifugio del malware EtherHiding utilizza in modo ingegnoso gli smart contract , programmi eseguiti automaticamente su blockchain pubbliche come Ethereum o BNB Smart Chain . All’interno di questi contratti viene incorporato codice malevolo , spesso JavaScript, che può essere aggiornato o sostituito in qualsiasi momento. In questo modo la blockchain diventa un server C2 decentralizzato , immune a blocchi o sequestri: non esiste un “server centrale” da abbattere. Il risultato è un’infrastru...
La frontiera del malware si sta spostando. Con EtherHiding, gli attacchi informatici abbandonano i server tradizionali e si annidano dentro la blockchain stessa, sfruttando i suoi meccanismi di decentralizzazione per creare un hosting impossibile da rimuovere.
Il fenomeno è stato osservato per la prima volta nel 2023 con la campagna CLEARFAKE, e successivamente adottato dal gruppo nordcoreano UNC5342, noto per le sue operazioni di spionaggio e furto di criptovalute.
Smart contract come rifugio del malware
EtherHiding utilizza in modo ingegnoso gli smart contract, programmi eseguiti automaticamente su blockchain pubbliche come Ethereum o BNB Smart Chain.
All’interno di questi contratti viene incorporato codice malevolo, spesso JavaScript, che può essere aggiornato o sostituito in qualsiasi momento. In questo modo la blockchain diventa un server C2 decentralizzato, immune a blocchi o sequestri: non esiste un “server centrale” da abbattere.
Il risultato è un’infrastruttura di comando e controllo resiliente e anonima, capace di sopravvivere anche quando i domini o i server collegati vengono eliminati.
Recupero furtivo: il codice che non lascia tracce
La vera innovazione di EtherHiding è la sua invisibilità.
Quando una vittima visita un sito compromesso, uno script contatta la blockchain per recuperare il payload — ma lo fa attraverso una chiamata di sola lettura (eth_call).
Poiché questa chiamata non genera transazioni né commissioni (gas fees), non lascia alcuna traccia on-chain. Il malware può così diffondersi senza rumore, sfruttando l’architettura pubblica della blockchain per un’operazione privata.
L’inganno di UNC5342: finti recruiter e test di codifica
L’attacco parte con una trappola di ingegneria sociale chiamata Contagious Interview. Gli hacker fingono di essere reclutatori su LinkedIn e propongono colloqui di lavoro nel settore tech o crypto.
Durante la “valutazione tecnica”, chiedono alle vittime di scaricare un file da GitHub o npm: all’interno c’è JADESNOW, un downloader che si connette alla blockchain per recuperare ulteriori moduli, fino a installare la backdoor persistente INVISIBLEFERRET.
Questa backdoor consente l’esecuzione remota di comandi e il furto di dati sensibili — password, cookie di sessione, chiavi dei wallet, credenziali dei gestori come 1Password o MetaMask — inviandoli poi a un server controllato o a una chat Telegram privata.
Un’infrastruttura ibrida: decentralizzata ma non troppo
Nonostante la sofisticazione tecnica, EtherHiding presenta un punto debole.
Le comunicazioni con la blockchain non avvengono direttamente: i gruppi UNC5142 e UNC5342 si appoggiano a servizi API centralizzati (come Binplorer o endpoint RPC pubblici).
Questi intermediari costituiscono un punto di osservazione prezioso per i difensori. Google Threat Intelligence Group, ad esempio, ha collaborato con i fornitori API per identificare e bloccare l’attività sospetta, interrompendo parte della catena d’attacco.
Difendersi dal malware su blockchain
Contrastare EtherHiding richiede un approccio multilivello: tecnico e umano.
-
Formazione mirata: Gli sviluppatori e i professionisti tech devono imparare a riconoscere le trappole di social engineering — in particolare le offerte di lavoro sospette che chiedono di eseguire codice scaricato da fonti esterne.
-
Controlli aziendali: Le organizzazioni possono utilizzare strumenti come Chrome Enterprise per applicare politiche di sicurezza:
-
Bloccare i download pericolosi con la policy
DownloadRestrictions. -
Gestire gli aggiornamenti del browser in modo automatico.
-
Impostare una
URLBlocklistper impedire l’accesso a domini compromessi.
-
EtherHiding dimostra che la blockchain non è solo un registro immutabile, ma anche un possibile vettore d’attacco. L’immutabilità che protegge i dati finanziari può, se mal sfruttata, proteggere anche il malware.
Il confine tra decentralizzazione e sicurezza, ancora una volta, si rivela sottile.
FAQ
1. Cos’è EtherHiding?
Una tecnica di attacco che usa la blockchain per nascondere e distribuire codice malevolo in modo decentralizzato.
2. Quali blockchain vengono usate?
Principalmente BNB Smart Chain ed Ethereum, per la loro ampia accessibilità e compatibilità con smart contract.
3. Perché è difficile bloccarlo?
Perché i dati sono memorizzati su una blockchain pubblica e immutabile, priva di un server centrale da disattivare.
4. Come avviene l’infezione iniziale?
Tramite campagne di ingegneria sociale: finti recruiter e test di codifica malevoli diffondono i primi file infetti.
5. Come ci si protegge?
Evitando download sospetti, aggiornando browser e strumenti aziendali, e monitorando le API blockchain usate dal malware.