Một báo cáo an ninh mạng mới từ Google tiết lộ rằng các tin tặc được nhà nước bảo trợ, đặc biệt là những kẻ liên quan đến Triều Tiên, đang khai thác tính chất bất biến của các blockchain công cộng để tạo ra các hệ thống phân phối phần mềm độc hại gần như không thể phá hủy. Kỹ thuật này, được đặt tên là EtherHiding, đánh dấu một bước tiến hóa quan trọng trong cơ sở hạ tầng tấn công mạng, biến công nghệ nền tảng của tiền điện tử thành vũ khí chống lại chính cộng đồng bảo mật vốn ủng hộ phi tập trung.
 |
|---|
| Một minh họa ấn tượng về công nghệ blockchain thể hiện sự phức tạp và tính đổi mới của nó, liên quan đến phân tích về các mối đe dọa mạng được nhà nước bảo trợ |
Sự Xuất Hiện Của EtherHiding
Nhóm Tình báo Mối đe dọa của Google đã xác định một chiến dịch tinh vi trong đó tin tặc nhúng mã độc trực tiếp vào các hợp đồng thông minh của các blockchain công cộng như Ethereum và BNB Smart Chain. Cách tiếp cận này đại diện cho thứ mà các nhà nghiên cứu mô tả là dịch vụ lưu trữ chống đỡ đạn thế hệ tiếp theo, loại bỏ nhu cầu về các máy chủ truyền thống ở nước ngoài vốn đôi khi có thể bị gián đoạn bởi các cơ quan thực thi pháp luật. Thiết kế vốn có của công nghệ blockchain—cụ thể là tính phi tập trung và bất biến—khiến bất kỳ tải trọng nào được lưu trữ trong đó về cơ bản là vĩnh viễn và nằm ngoài tầm với của các nỗ lực gỡ bỏ thông thường.
Các nền tảng Blockchain bị khai thác:
- Ethereum
- BNB Smart Chain (được chú ý vì phí giao dịch thấp hơn)
 |
|---|
| Sơ đồ lưu đồ chi tiết cho thấy phương thức nhúng phần mềm độc hại vào các hợp đồng thông minh, minh họa kỹ thuật EtherHiding được tin tặc sử dụng |
Cách Thức Hoạt Động Của Chiến Lược Tấn Công
Chuỗi tấn công bắt đầu bằng kỹ thuật thao túng xã hội, nơi tin tặc giả dạng là nhà tuyển dụng nhắm mục tiêu vào các nhà phát triển phần mềm bằng các lời mời làm việc giả mạo. Những lời mời này yêu cầu ứng viên hoàn thành các bài tập kỹ thuật mà bí mật chứa phần mềm độc hại giai đoạn đầu. Sau khi được kích hoạt, phần mềm độc hại này sau đó giao tiếp với các hợp đồng thông minh độc hại trên các blockchain công cộng để truy xuất các tải trọng thứ cấp. Toàn bộ quá trình tận dụng chức năng gọi chỉ đọc của blockchain, vốn không tạo ra các giao dịch có thể nhìn thấy trong nhật ký, cho phép tin tặc lấy mã độc mà không để lại dấu vết rõ ràng cho các nhà phân tích bảo mật theo dõi.
Mối Liên Hệ Với Triều Tiên Và Các Bộ Công Cụ Phần Mềm Độc Hại
Google quy kết hoạt động này chủ yếu cho một nhóm mà họ theo dõi với mã hiệu UNC5342, nhóm này có liên quan đến các hoạt động không gian mạng được nhà nước Triều Tiên bảo trợ. Bộ công cụ của nhóm này bao gồm một trình tải xuống có tên JadeSnow, thứ tải về một cửa hậu tinh vi có tên InvisibleFerret trực tiếp từ các hợp đồng thông minh dựa trên blockchain. Tính nhất quán của các mẫu hình này cho thấy việc phân phối phần mềm độc hại dựa trên blockchain đang trở thành một công cụ được ưa chuộng trong số các tác nhân đe dọa tiên tiến, với các nhóm Triều Tiên đã đánh cắp tài sản kỹ thuật số vượt quá 2 tỷ đô la Mỹ kể từ đầu năm 2025 theo công ty phân tích blockchain Elliptic.
Các Nhóm Đe Dọa và Công Cụ Chính:
- UNC5342: Nhóm được tài trợ bởi nhà nước Triều Tiên sử dụng EtherHiding
- JadeSnow: Trình tải xuống JavaScript lấy payload từ blockchain
- InvisibleFerret: Backdoor đầy đủ tính năng cho phép gián điệp và đánh cắp dữ liệu
- UNC5142: Nhóm có động cơ tài chính cũng áp dụng các kỹ thuật EtherHiding
Bản Chất Tiết Kiệm Chi Phí Của Các Cuộc Tấn Công Blockchain
Một trong những khía cạnh đáng báo động nhất của phương pháp tấn công này là tính kinh tế của nó. Việc tạo hoặc thay đổi một hợp đồng thông minh độc hại thường có chi phí ít hơn 2 đô la Mỹ cho mỗi giao dịch, khiến nó rẻ hơn đáng kể so với việc duy trì các dịch vụ lưu trữ ngầm truyền thống. Rào cản gia nhập thấp này, kết hợp với các tính năng ẩn danh của công nghệ blockchain che giấu danh tính của kẻ tấn công, tạo ra một môi trường lý tưởng cho các hoạt động mạng dai dẳng. Bản chất phân tán của các nền tảng này cũng loại bỏ bất kỳ điểm kiểm soát hoặc điểm lỗi duy nhất nào mà các nhà phòng thủ có thể nhắm mục tiêu.
Chi phí tấn công:
- Tạo/thay đổi hợp đồng thông minh độc hại: < 2 USD mỗi giao dịch
- Dịch vụ hosting ngầm truyền thống: Đắt hơn đáng kể
Thách Thức Phòng Thủ Và Các Biện Pháp Đối Phó Tiềm Năng
Đối với các nhóm an ninh mạng, EtherHiding đặt ra những thách thức phòng thủ đáng kể. Bởi vì mã độc được nhúng trong chính blockchain, nó không thể bị xóa hoặc sửa đổi. Các chuyên gia bảo mật lưu ý rằng các biện pháp đối phó tiềm năng bao gồm chặn các lệnh gọi JSON-RPC cụ thể truy xuất dữ liệu hợp đồng thông minh, thực thi các chính sách nghiêm ngặt về tiện ích mở rộng trình duyệt và triển khai các quy trình xác minh cập nhật mạnh mẽ để ngăn chặn các cảnh báo bảo mật giả mạo lan rộng. Tuy nhiên, những biện pháp này đại diện cho sự kiềm chế hơn là loại bỏ mối đe dọa, làm nổi bật cuộc chơi mèo vờn chuột liên tục giữa kẻ tấn công và nhà phòng thủ trong bối cảnh an ninh mạng.