Північнокорейські хакери новий ход: ховають шкідливий код у смартконтрактах для крадіжки монет

Команда з розвідки загроз Google нещодавно викрила хакерський метод під назвою “EtherHiding”, який використовують північнокорейські хакери для крадіжки монет і чутливої інформації. Цей метод почали використовувати з 2023 року, і зараз він стає все більш розповсюдженим.

Як цей трюк обманює

Хакер套路基本是这样：

Перший крок: Фішинг

• Створення фальшивих компаній, фальшивих сайтів вакансій
• Надсилання фальшивих вакансій програмістам та розробникам криптовалют
• Виглядає дуже професійно, зарплата також висока

Другий крок: перенесення позицій

• Перенесіть чат у приватний чат Discord або Telegram
• Обманювати тебе робити “технічний тест” або “програмування завдання”
• Дозволяє вам завантажити “код файлів” з GitHub (насправді це все віруси)
• Або обманюють вас потрапити на відеоконференцію, з'являється підроблене вікно помилки, що спонукає завантажити “патч” (також вірус)

Третій крок: Вкрасти дані

• Вставлене шкідливе програмне забезпечення JavaScript називається “JADESNOW”
• Почати безумно красти твої приватні ключі, інформацію про гаманець, дані
• Високовартісні цілі також можуть бути оснащені бекдорами, Хакер довгостроково залишиться.

Чому цей хід так важко виявити

Ключ у ланцюговій невидимості:

• Зловмисний код прихований у смарт-контракті на публічному блокчейні
• Використовувати лише функції “тільки для читання” для крадіжки даних, не створюючи реальних транзакцій
• Таким чином, блокчейн-браузер не бачить аномальних транзакцій, Хакер ще й заощадив Gas.
• Сайт контролюється скриптом Loader, який викликає зловмисний код з контракту
• Користувачі не підозрювали, що монета в їхньому гаманці зникла

Як захиститися

1. Інформацію про вакансії потрібно перевіряти - відвідайте офіційний сайт компанії або LinkedIn для підтвердження, не натискайте на посилання в електронному листі.
2. Кодову базу слід перевіряти - Речі, завантажені з GitHub, особливо від незнайомців, спочатку слід перевірити на віруси.
3. Відеоконференції потрібно бути обережними - офіційні компанії не попросять вас завантажити патч під час співбесіди
4. Права гаманця потрібно контролювати - Регулярно перевіряйте авторизовані контракти та активність гаманця
5. Зверніть увагу на взаємодію в блокчейні - підтвердьте справжність адреси смарт-контракту, не сліпо надавайте дозволи.

Google рекомендує всій криптоспільноті бути на чеку, ця атака в першу чергу націлена на розробників, але звичайні користувачі також можуть стати жертвами.