هک EtherHiding: بدافزاری که در قراردادهای هوشمند پنهان می‌شود

هشداری از گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) نشان می‌دهد که بازیگران تهدید وابسته به کره‌شمالی از روشی جدید برای سرقت رمز ارز و اطلاعات حساس استفاده می‌کنند.

به گزارش میهن بلاکچین، در این روش که اترهایدینگ (EtherHiding) نامیده می‌شود، کد مخرب در قراردادهای هوشمند روی بلاک‌چین‌های عمومی جاسازی می‌شود و با تکیه بر مهندسی اجتماعی قربانیان را فریب می‌دهد تا به وب‌سایت‌ها یا فایل‌های آلوده مراجعه کنند؛ بدافزار سپس وجوه و داده‌های حساس را سرقت می‌کند.

EtherHiding چیست؟

اترهایدینگ (EtherHiding) تکنیکی است که برای نخستین‌بار در سال ۲۰۲۳ ظاهر شد و شامل پنهان‌سازی بسته‌های مخرب درون قراردادهای هوشمند عمومی است. هدف اصلی این روش سرقت رمز ارزها و استخراج اطلاعات حساس از دستگاه‌ها و کاربرانی است که به‌اشتباه با محتوای آلوده تعامل برقرار می‌کنند. گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) این شیوه را در زمره حملات پیچیده‌ای قرار می‌دهد که با روش‌های کلاسیک مهندسی اجتماعی ترکیب می‌شود.

روند اجرای حمله چگونه است؟

در عمل بازیگران تهدید چند مرحله را پشت‌سر می‌گذارند تا موفق به اجرای حمله شوند:

ابتدا مهاجمان از طریق ایجاد شرکت‌ها، آژانس‌های استخدامی یا پروفایل‌های جعلی، توسعه‌دهندگان نرم‌افزار و فعالان حوزه رمز ارز را هدف قرار می‌دهند.
پس از برقراری ارتباط اولیه، گفتگو به پلتفرم‌های پیام‌رسان مانند دیسکورد (Discord) یا تلگرام (Telegram) منتقل شده و قربانی به انجام «آزمون استخدامی» یا تکلیف کدنویسی هدایت می‌شود.

در مرحلهٔ فنی هسته حمله رخ می‌دهد؛ قربانیان معمولاً ترغیب می‌شوند فایل‌هایی را از مخازن کد مانند گیت هاب (GitHub) دانلود کنند که در آنجا فایل آلوده قرار دارد. در برخی موارد مهاجمان قربانی را به یک تماس ویدیویی دعوت می‌کنند و با نمایش پیام خطای جعلی، او را برای دانلود یک پَچ (اصلاح‌کننده) قانع می‌سازند؛ این پَچ در واقع حامل کد مخرب است.

فنی‌تر، مهاجمان با استفاده از یک اسکریپت لودر (Loader Script) کنترل آدرس یک وب‌سایت را به‌دست می‌آورند و کد جاوااسکریپت مخربی را در آن قرار می‌دهند. این کد وب‌سایت را طوری تنظیم می‌کند که با یک قرارداد هوشمند مخرب روی شبکه بلاک‌چین ارتباط برقرار کند. ارتباط بین وب‌سایت آلوده و قرارداد هوشمند معمولاً از طریق یک تابع «فقط خواندنی» صورت می‌گیرد که تراکنشی روی دفترکل ایجاد نمی‌کند؛ بدین‌ترتیب مهاجمان می‌توانند از دید ناظران پنهان بمانند و هزینه‌های تراکنش را به حداقل برسانند.

پس از اجرای اولیه، بدافزار مرحله دوم که مبتنی بر جاوااسکریپت است و «JADESNOW» نامیده می‌شود، مستقر می‌شود تا داده‌های حساس را از دستگاه قربانی استخراج کند. برای اهدافی که ارزش بیشتری دارند، مرحله سوم نیز ممکن است فعال شود که دسترسی بلندمدت و پایداری به دستگاه و شبکهٔ قربانی فراهم می‌آورد.

این حمله چندین ویژگی دارد که آن را به تهدیدی جدی تبدیل می‌کند:

• استفاده هم‌زمان از مهندسی اجتماعی و تکنیک‌های فنی باعث می‌شود کشف زودهنگام دشوار شود.
• جاسازی کد در قراردادهای هوشمند عمومی و فراخوانی «فقط خواندنی» هزینه‌ها را کاهش می‌دهد و ردپاها را کم‌رنگ می‌کند.
• بهره‌گیری از وب‌سایت‌های مشروع آلوده اعتماد کاربران را علیه خود آن‌ها به کار می‌گیرد.
• مراحل چندگانه و وجود بدافزارهای جداگانه (مانند JADESNOW) امکان سرقت گسترده‌تر داده‌ها و دسترسی بلندمدت را فراهم می‌کند.

توصیه‌ها و راهکارهای محافظتی

برای کاهش خطر مواجهه با حملات مشابه و محافظت از دارایی‌ها و اطلاعات، توصیه‌های زیر مطرح است:

1. در مواجهه با پیشنهادهای شغلی یا تماس‌های حرفه‌ای غیرمنتظره محتاط باشید و صحت شرکت و فرستنده را به‌صورت مستقل بررسی کنید.
2. از دانلود فایل‌ها یا پَچ‌های ارائه‌شده توسط آدرس‌های ناشناس یا لینک‌های ارسالی در پیام‌رسان‌ها خودداری کنید و به‌جای آن از منابع رسمی و شناخته‌شده استفاده کنید.
3. هرگز کد یا فایل را بدون بازبینی امنیتی کامل روی دستگاه‌های کاری یا کیف‌پول‌های دارای دارایی بارگذاری نکنید.
4. برای تعامل با قراردادهای هوشمند و DAppها از کیف‌پول‌ها و محیط‌های ایزوله استفاده کنید و همیشه مجوزهای درخواستی را با دقت بررسی کنید.
5. از راهکارهای آنتی‌مالور و ابزارهای تحلیل ترافیک شبکه برای شناسایی رفتارهای مشکوک استفاده کنید و سیستم‌ها را به‌روز نگه دارید.
6. در صورت مشاهده رفتار غیرعادی یا تماس‌های مشکوک، فوراً ارتباط را قطع کنید و برای بررسی بیشتر از تیم‌های امنیتی یا متخصصان کمک بگیرید.

گزارش گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) نشان می‌دهد بازیگران تهدید پیشرفته‌ای مانند گروه‌هایی مرتبط با کره‌شمالی از تکنیک‌هایی مانند اترهایدینگ (EtherHiding) استفاده می‌کنند تا به‌طور هدفمند وجوه و داده‌ها را سرقت کنند. ترکیب مهندسی اجتماعی با جاسازی کد در قراردادهای هوشمند، تهدیدی جدی برای کاربران و سازمان‌های فعال در فضای رمز ارز و توسعه نرم‌افزار پدید آورده است؛ بنابراین افزایش آگاهی، اعمال احتیاط‌های فنی و رویه‌ای و استفاده از ابزارهای حفاظتی بهترین راهکارهای فعلی برای کاهش این ریسک‌ها هستند.