گوگل روش EtherHiding را برای شناسایی بدافزارهای بلاک‌چینی معرفی کرد

گوگل روش EtherHiding را برای شناسایی بدافزارهای بلاک‌چینی معرفی کرد

به گزارش مالی3، گوگل در تازه‌ترین گزارش امنیتی خود اعلام کرد که هکرهای کره شمالی از یک روش پیچیده با نام EtherHiding برای پنهان‌سازی و گسترش بدافزار در شبکه‌های بلاک‌چینی استفاده می‌کنند. این روش، شامل جاسازی کدهای مخرب در قراردادهای هوشمند اتریوم و سایر بلاک‌چین‌های عمومی است که به مهاجمان امکان می‌دهد داده‌های حساس و دارایی‌های دیجیتال کاربران را سرقت کنند.

معرفی و عملکرد تکنیک EtherHiding

تکنیک EtherHiding نخستین بار در سال ۲۰۲۳ توسط گروه امنیتی Google Threat Intelligence شناسایی شد. این روش عمدتاً در کمپین‌های مهندسی اجتماعی (Social Engineering) مورد استفاده قرار می‌گیرد. در این حملات، هکرها با پیشنهاد شغلی جعلی یا مصاحبه‌های دروغین، قربانیان را به وب‌سایت‌ها و لینک‌های مخرب هدایت می‌کنند تا بدافزار را به‌صورت ناخواسته روی سیستم خود نصب کنند.

گوگل اعلام کرده است که در بسیاری از موارد، مهاجمان از اسکریپتی موسوم به Loader Script برای تزریق کدهای جاوااسکریپت در وب‌سایت‌های معتبر استفاده می‌کنند. سپس، بخش دیگری از کدهای مخرب را در یک قرارداد هوشمند قرار می‌دهند که هنگام تعامل کاربر با سایت، اطلاعات محرمانه یا کیف‌پول‌های دیجیتال او را سرقت می‌کند.

نحوه عملکرد و خطرات این حمله

پژوهشگران گوگل در گزارش خود توضیح دادند که وب‌سایت‌های آلوده از تابعی موسوم به «فقط خواندنی» (Read-only Function) استفاده می‌کنند که بدون ثبت تراکنش در بلاک‌چین، با شبکه ارتباط برقرار می‌کند. این ویژگی به مهاجمان اجازه می‌دهد تا از شناسایی فرار کنند و هزینه‌های تراکنش را نیز کاهش دهند.

گوگل هشدار داده است که این نوع بدافزارها قادرند بدون ایجاد تراکنش واقعی، داده‌های کاربر را ردیابی کرده و به سرقت ببرند. افزون بر آن، بدافزار JADESNOW که به زبان JavaScript توسعه یافته است، پس از آلوده شدن سیستم قربانی فعال می‌شود و اطلاعات حساس مانند کلیدهای خصوصی، رمزهای عبور و فایل‌های رمزنگاری‌شده را استخراج می‌کند.

تاکتیک‌های مهندسی اجتماعی و هدف قرار دادن توسعه‌دهندگان

به گفته‌ی تیم Google Threat Intelligence، هکرهای کره شمالی در کمپین‌های خود از پروفایل‌های جعلی در پلتفرم‌های استخدامی، آژانس‌های کاریابی و شبکه‌های اجتماعی برای فریب توسعه‌دهندگان ارزهای دیجیتال استفاده می‌کنند.
پس از برقراری ارتباط اولیه، آن‌ها قربانی را به پلتفرم‌هایی مانند Discord یا Telegram منتقل کرده و به بهانه‌ی آزمون استخدامی، از او می‌خواهند تا فایل‌هایی از GitHub دانلود کند — فایل‌هایی که در حقیقت حاوی کدهای مخرب هستند.

در برخی موارد، مهاجمان حتی قربانی را به تماس ویدیویی دعوت می‌کنند و در هنگام مکالمه، یک پیام خطای جعلی نمایش می‌دهند که از کاربر می‌خواهد برای “رفع خطا” وصله‌ای را دانلود کند. اما این وصله در واقع حاوی بدافزار است که به سیستم کاربر نفوذ کرده و کنترل آن را در اختیار هکرها قرار می‌دهد.

گسترش تهدیدها و مراحل بعدی حمله

گوگل هشدار داده است که برخی از این حملات چندمرحله‌ای بوده و پس از نصب اولیه، در مراحل بعدی با هدف دسترسی مداوم به سیستم قربانی انجام می‌شود. در مرحله‌ی دوم، بدافزار JADESNOW برای استخراج اطلاعات فعال می‌شود، و در مرحله سوم، مهاجمان از طریق دسترسی ایجادشده می‌توانند به سایر دستگاه‌ها و شبکه‌های متصل نفوذ کنند.

در گزارشی دیگر آمده است که گروه‌های مهاجم از ربات‌های تلفنی و سیستم‌های خودکار برای گسترش حملات خود استفاده می‌کنند. در یکی از نمونه‌ها، بیش از ۳۰ هزار ربات در حملات مربوط به ایردراپ‌های رمزارزی (Crypto Airdrops) شرکت داشته‌اند و اقدام به سرقت دارایی‌های کاربران کرده‌اند.

اقدامات گوگل و هشدارهای امنیتی

گوگل اعلام کرده است که در حال حاضر از تکنیک EtherHiding Detection برای اسکن قراردادهای هوشمند و شناسایی کدهای مخرب استفاده می‌کند. این سیستم با بررسی الگوهای رمزنگاری، می‌تواند وجود کدهای دستکاری‌شده در قراردادها را شناسایی و علامت‌گذاری کند.

به گفته گوگل، هدف از این اقدام، افزایش امنیت اکوسیستم بلاک‌چین و کاهش تهدیدهای سایبری است. همچنین این شرکت از توسعه‌دهندگان و سازمان‌ها خواسته تا از ابزارهای رسمی گوگل برای تحلیل قراردادهای هوشمند استفاده کرده و از دانلود فایل‌های مشکوک خودداری کنند.

تکنیک EtherHiding اکنون یکی از پیچیده‌ترین روش‌های پنهان‌سازی بدافزار در قراردادهای هوشمند به‌شمار می‌رود. هرچند گوگل توانسته است سازوکار شناسایی آن را توسعه دهد، اما گسترش حملات سایبری و استفاده از مهندسی اجتماعی همچنان تهدیدی جدی برای کاربران و توسعه‌دهندگان حوزه بلاک‌چین محسوب می‌شود.

کارشناسان امنیتی تأکید دارند که کاربران باید هنگام دریافت پیام‌ها یا پیشنهادات شغلی مرتبط با رمزارزها هوشیار باشند و هرگونه لینک یا فایل ناشناس را باز نکنند، زیرا کوچک‌ترین بی‌احتیاطی می‌تواند منجر به از دست رفتن کامل دارایی‌های دیجیتال شود.