بر اساس تحقیقات جدید گروه اطلاعات تهدیدات گوگل (GTIG)، یک گروه هکری تحت حمایت دولت کره شمالی اکنون از بلاکچین‌های عمومی برای میزبانی بدافزارهای مخرب استفاده می‌کند. این کمپین که از تکنیکی به نام «EtherHiding» بهره می‌برد، اولین مورد مستند از یک بازیگر دولتی است که از تحویل بدافزار از طریق قراردادهای هوشمند برای فرار از شناسایی و جلوگیری از حذف استفاده می‌کند.

گوگل این فعالیت را به UNC5342 نسبت می‌دهد، گروهی که آن را به عملیات طولانی‌مدت «Contagious Interview» مرتبط می‌داند که توسعه‌دهندگان و متخصصان ارزهای دیجیتال را هدف قرار می‌دهد. UNC5342 که اولین بار در فوریه ۲۰۲۵ با استفاده از EtherHiding مشاهده شد، جدیدترین ابزار خود را شامل یک دانلودر جاوا اسکریپت به نام JADESNOW می‌کند که یک بدافزار پشتی (backdoor) به نام INVISIBLEFERRET را مستقیماً از داده‌های ذخیره شده در BNB Smart Chain و قراردادهای هوشمند اتریوم دریافت و اجرا می‌کند.

مکانیسم تحویل بدافزار این گروه به فراخوانی‌های بلاکچین فقط خواندنی متکی است. این درخواست‌ها تراکنش‌های جدیدی تولید نمی‌کنند یا ردی قابل مشاهده در ابزارهای تحلیل بلاکچین باقی نمی‌گذارند، و از آنجایی که خود قراردادها تغییرناپذیر هستند، مدافعان نمی‌توانند اسکریپت‌های جاسازی شده را حذف کنند.

در عمل، این تکنیک به بازیگران تهدید اجازه می‌دهد تا بدافزارها را با بازنویسی متغیرهای ذخیره‌سازی قرارداد در بلاکچین به‌روزرسانی یا جایگزین کنند، بدون نیاز به به خطر انداختن مجدد سایت‌های توزیع یا کلاینت‌ها. در حالی که بازیگران با انگیزه مالی قبلاً از این زیرساخت استفاده کرده‌اند، گوگل می‌گوید این اولین بار است که یک گروه تحت حمایت دولت این تکنیک را در ابزار عملیاتی خود گنجانده است.

گزارش گوگل زیرساخت بلاکچین را به عفونت‌های واقعی مرتبط می‌کند که از طریق سایت‌های وردپرس آلوده و طعمه‌های مهندسی اجتماعی، از جمله مصاحبه‌های شغلی جعلی طراحی شده برای فریب توسعه‌دهندگان ارزهای دیجیتال، تحویل داده شده‌اند. قربانیانی که به این سایت‌ها وارد می‌شوند، لودر JADESNOW را دریافت می‌کنند که سپس با قراردادهای هوشمند روی بلاکچین ارتباط برقرار کرده، یک بدافزار جاوا اسکریپت را بازیابی کرده و آن را به صورت محلی اجرا می‌کند. این بدافزار به نوبه خود INVISIBLEFERRET را راه‌اندازی می‌کند — یک بدافزار پشتی کامل با کنترل از راه دور که امکان جاسوسی طولانی‌مدت و سرقت داده‌ها را فراهم می‌کند.

در حالی که گوگل مشخص نمی‌کند که داده‌های قرارداد هوشمند چگونه بازیابی شده‌اند، تحقیقات قبلی EtherHiding نشان داده است که مهاجمان اغلب به فراخوانی‌های استاندارد JSON-RPC متکی هستند که ممکن است از طریق زیرساخت‌های عمومی یا میزبانی شده عبور کنند. مسدود کردن این خدمات یا مجبور کردن کلاینت‌ها به استفاده از گره‌های خودمیزبان با محدودیت‌های سیاست می‌تواند مهار موقتی را ارائه دهد. در سمت مرورگر، سازمان‌ها می‌توانند سیاست‌های سختگیرانه اجرای افزونه و اسکریپت را اعمال کرده و جریان‌های کاری به‌روزرسانی را قفل کنند تا از گسترش هشدارهای جعلی به سبک کروم جلوگیری شود.