Crypto Prices

XRP och andra kryptotillgångar utsatta för EtherHiding-attack

oktober 18, 2025

Nordkoreanska Hotaktörer och EtherHiding

Nordkoreanska hotaktörer har antagit en blockchain-baserad teknik kallad EtherHiding för att distribuera skadlig programvara avsedd att stjäla kryptovaluta, inklusive XRP. Enligt Googles Threat Intelligence Group (GTIG) är detta första gången en nationell aktör observeras använda denna metod.

Teknikens Funktionalitet

Tekniken integrerar skadliga JavaScript-payloads i blockchain-smartkontrakt för att skapa motståndskraftiga kommandon-och-kontrollservrar. EtherHiding riktar sig mot utvecklare inom kryptovaluta- och tekniksektorer genom sociala ingenjörskampanjer som spåras under namnet ”Contagious Interview”. Kampanjen har resulterat i flera kryptovalutaövergrepp som påverkar XRP-innehavare och användare av andra digitala tillgångar.

Skadlig Kod och Upptäcktsrisk

EtherHiding lagrar skadlig kod på decentraliserade och tillståndsfria blockkedjor, vilket eliminerar centrala servrar som brottsbekämpning eller cybersäkerhetsföretag kan stänga ner. Angripare som kontrollerar smartkontrakt kan uppdatera skadliga payloads när som helst och upprätthålla ihållande åtkomst till komprometterade system. Säkerhetsforskare kan märka kontrakt som skadliga på blockkedjeskannrar som BscScan, men den skadliga aktiviteten fortsätter oavsett dessa varningar.

Googles rapport beskriver EtherHiding som en ”övergång till nästa generations kulskyddat värdskap,” där blockkedjeteknikens funktioner möjliggör skadliga syften.

När användare interagerar med komprometterade webbplatser aktiveras koden för att stjäla XRP, andra kryptovalutor och känslig data. De komprometterade webbplatserna kommunicerar med blockkedjenätverk genom read-only-funktioner som undviker att skapa bokföringstransaktioner, vilket minimerar upptäckten och transaktionsavgifterna.

Contagious Interview-kampanjen

Contagious Interview-kampanjen kretsar kring sociala ingenjörstaktiker som imiterar legitima rekryteringsprocesser genom falska rekryterare och fabricerade företag. Falska rekryterare lockar kandidater till plattformar som Telegram eller Discord, för att sedan distribuera skadlig programvara genom vilseledande kodningstester eller falska programvarunedladdningar som förkläds som tekniska bedömningar.

Kampanjen använder flerstegsinfektion av skadlig programvara, inklusive varianter av JADESNOW, BEAVERTAIL och INVISIBLEFERRET, som påverkar Windows, macOS och Linux-system. Offer tror att de deltar i legitima arbetsintervjuer medan de omedvetet laddar ner skadlig programvara avsedd att få ihållande åtkomst till företagsnätverk och stjäla kryptovaluta-innehav.

Senaste från Blog