El Grupo de Inteligencia de Amenazas de Google ha emitido una alerta sobre una nueva técnica de ciberataque utilizada por hackers norcoreanos, denominada “EtherHiding”. Este método innovador permite a los atacantes desplegar malware diseñado para robar criptomonedas e información confidencial incrustando código malicioso en contratos inteligentes alojados en blockchains públicas.
¿Qué es EtherHiding y Cómo Funciona?
EtherHiding es una técnica que surgió en 2023 y se utiliza para evadir la detección y minimizar los costos de transacción al ocultar la carga maliciosa (payload) en una blockchain pública.
- Compromiso del Sitio Web: Los hackers obtienen el control de una dirección web legítima e insertan un script de carga de código JavaScript en el sitio comprometido.
- Activación del Malware: Este script activa un paquete de código malicioso independiente que está almacenado en un contrato inteligente en la red blockchain.
- Comunicación “Solo Lectura”: El sitio web comprometido se comunica con la blockchain utilizando una función de “solo lectura” (read-only). Esto es clave porque no crea una transacción real en el ledger (libro de contabilidad), permitiendo a los atacantes:
- Evitar ser detectados por las herramientas de monitoreo de red tradicionales.
- Minimizar o eliminar las tarifas de transacción (gas fees).
- Robo de Fondos y Datos: Una vez que el usuario interactúa con el sitio web comprometido, el malware se activa para robar fondos y datos.
Campaña de Ingeniería Social de Corea del Norte
Google señala que EtherHiding se utiliza junto con sofisticadas técnicas de ingeniería social que se dirigen a desarrolladores de software y criptomonedas, a menudo a través de ofertas de empleo falsas.
| Fase del Ataque | Descripción |
| Contacto Inicial | Los atacantes crean empresas, agencias de contratación y perfiles falsos para contactar a las víctimas con ofertas de trabajo y entrevistas de “alto perfil”. |
| Transición | La comunicación se traslada a plataformas de mensajería como Discord o Telegram. |
| Prueba Técnica (Payload Malicioso) | Este es el núcleo del ataque. Se pide a la víctima que descargue archivos maliciosos de repositorios de código en línea como GitHub para una “prueba de empleo” o “tarea de programación”. El archivo contiene la carga maliciosa. |
| Engaño de Videollamada (Alternativo) | En otros casos, durante una videollamada, se muestra a la víctima un mensaje de error falso, instándola a descargar un “parche” de software para corregir el error. Este parche también contiene el código malicioso. |
| Instalación de Malware | Una vez instalado, se despliega un malware de segunda fase llamado “JADESNOW” (basado en JavaScript) diseñado para robar datos confidenciales. |
| Persistencia (Objetivos de Alto Valor) | Para objetivos de alto valor, se despliega una tercera fase que permite a los atacantes obtener acceso a largo plazo al equipo comprometido y a otros sistemas conectados a la red. |
El informe de Google subraya la necesidad urgente de que la comunidad cripto y los usuarios individuales se mantengan alerta contra estas sofisticadas estafas que buscan robar fondos e información valiosa.
Este artículo no contiene consejos ni recomendaciones de inversión. Toda inversión y operación comercial conlleva riesgos, por lo que los lectores deben realizar su propia investigación antes de tomar una decisió1n.