Nouvelle méthode des hackers nord-coréens : cacher du code malveillant dans des smart contracts pour voler des jetons.

L'équipe de renseignement sur les menaces de Google a récemment découvert une méthode de hacker appelée “EtherHiding”, que des hackers nord-coréens utilisent pour voler des jetons et des informations sensibles. Cette méthode est utilisée depuis 2023 et devient de plus en plus répandue.

Comment cette astuce est-elle trompeuse

Le schéma de base des hackers est le suivant :

Première étape : Phishing

• Créer de fausses entreprises, de faux sites de recrutement
• Envoyer de faux e-mails de recrutement aux programmeurs et aux développeurs de cryptomonnaie
• Ça a l'air très professionnel, et le salaire est aussi élevé.

Deuxième étape : transférer le terrain

• Déplacez la conversation vers un chat privé sur Discord ou Telegram
• Te faire faire un “test technique” ou une “tâche de programmation”
• Vous fait télécharger “fichiers de code” depuis GitHub (qui sont en réalité tous des virus)
• Ou vous tromper pour vous faire entrer dans une visioconférence, faire apparaître une fausse fenêtre d'erreur, incitant à télécharger un “patch” (qui est aussi un virus)

Troisième étape : voler des données

• Le logiciel malveillant JavaScript inséré s'appelle “JADESNOW”
• Commence à voler frénétiquement tes clés privées, informations de portefeuille, données
• Les cibles de haute valeur peuvent également être implantées avec des portes dérobées, les Hackers s'installent à long terme.

Pourquoi cette astuce est-elle si difficile à détecter

La clé réside dans l'art de l'invisibilité sur la chaîne :

• Le code malveillant est caché dans le contrat intelligent sur la chaîne publique.
• Utiliser uniquement des fonctions “lecture seule” pour voler des données, sans créer de transactions réelles.
• Ainsi, le navigateur de blockchain ne peut pas voir les transactions anormales, le Hacker a également économisé des frais de Gas.
• Le site utilise un script Loader pour contrôler et appeler le code malveillant dans le contrat.
• L'utilisateur n'a aucune idée, les jetons dans le portefeuille ont disparu.

Comment se protéger

1. Les informations de recrutement doivent être vérifiées - Allez directement sur le site officiel de l'entreprise ou LinkedIn pour confirmer, ne cliquez pas sur les liens dans les e-mails.
2. Soyez prudent avec le code source - Téléchargez des choses depuis GitHub, en particulier celles envoyées par des inconnus, et scannez d'abord la base de données de virus.
3. Soyez prudent lors des visioconférences - Une entreprise légitime ne vous demandera pas de télécharger des patchs lors d'un entretien.
4. Gérez bien les autorisations du portefeuille - Vérifiez régulièrement les contrats autorisés et les activités du portefeuille.
5. Interaction sur la chaîne à prendre en compte - Confirmez l'authenticité de l'adresse du contrat intelligent, ne donnez pas aveuglément d'autorisations.

Google conseille à toute la communauté crypto de rester vigilante, cette vague d'attaques vise principalement les développeurs, mais les utilisateurs ordinaires peuvent également être touchés.