Google 威脅情報組(GTIG)披露,北韓國家級黑客組織 UNC5342 在「Contagious Interview」(傳染性面試)行動中採用名為「EtherHiding」的先進技術,通過智能合約在以太坊和幣安智能鏈上托管並投遞惡意軟件。這是全球首次確認有國家支援的黑客團伙使用此方法,標誌著網絡戰爭進入新階段。
區塊鏈成為不可刪除的惡意軟件倉庫
EtherHiding 技術最初由網絡安全公司 Guardio Labs 於 2023 年 10 月提出,其核心創新在於將惡意載荷嵌入公有區塊鏈的智能合約中。與傳統惡意軟件托管方式不同,這種方法利用區塊鏈三大特性建立了近乎完美的攻擊基礎設施。首先是交易匿名性,攻擊者部署智能合約時無需透露真實身份,使執法機構難以追蹤源頭。其次是不可逆性,一旦惡意程式碼寫入區塊鏈將永久存在且無法被刪除,傳統域名封鎖或 IP 黑名單機制完全失效。第三是去中心化特性,惡意程式碼分散存儲於全球數千個節點,任何單一國家的執法行動都無法有效清除。
Google 研究顯示,攻擊者通過「只讀調用」(read-only calls)方式從智能合約獲取惡意載荷,整個過程不會在區塊鏈上留下任何交易記錄,進一步增強隱蔽性。UNC5342 組織在四個月內對同一智能合約更新超過 20 次,每次平均僅花費 1.37 美元(約港幣 HK$10.7)礦工費用。這種低成本、高靈活性更新機制,使攻擊者能夠根據防禦方應對措施即時調整攻擊策略,形成貓捉老鼠的不對稱競爭。
精心設計的社交工程攻擊鏈
攻擊行動從精心偽造的求職面試開始,這是北韓黑客的經典戰術。UNC5342 組織創建了多個虛假公司,包括 BlockNovas LLC、Angeloper Agency 和 SoftGlide LLC,在 LinkedIn、GitHub 等平台建立可信度極高的企業形象。攻擊者鎖定軟件與網頁開發人員,特別是加密貨幣和 DeFi 領域的技術人才,透過提供具吸引力的職位機會接觸目標。在技術考核階段,受害者被誘導運行一段看似正常的程式碼測試,實際上是名為 JADESNOW 的 JavaScript 下載器。
JADESNOW 惡意軟件與智能合約交互,從以太坊或幣安智能鏈檢索第三階段載荷—InvisibleFerret 的 JavaScript 版本。這是一種專為長期間諜活動設計的後門程式,在記憶體中運行以逃避傳統防毒軟件檢測。載荷部署後會持續監聽指揮控制(C2)伺服器命令,執行任意指令、將檔案以 ZIP 格式上傳至外部伺服器或 Telegram。憑證竊取組件專門針對 Chrome 和 Edge 瀏覽器儲存的密碼、信用卡資訊,以及 MetaMask 和 Phantom 等加密貨幣錢包的敏感數據。
創紀錄的加密貨幣盜竊規模
2025 年成為北韓加密貨幣盜竊史上最慘重一年,前九個月損失已達 20 億美元(約港幣 156 億元),是 2024 年全年三倍,超越 2022 年創下的 13.5 億美元(約港幣 105.3 億元)舊紀錄。最大單一事件是 2 月 21 日對加密貨幣交易所 Bybit 的攻擊,黑客盜取約 14.6 億美元(約港幣 113.88 億元)以太坊代幣。美國聯邦調查局(FBI)於 2 月 26 日正式確認此次攻擊與北韓有關。
除 Bybit 外,2025 年北韓黑客還攻擊了 LND.fi、WOO X、Seedify 和台灣的 BitoPro 交易所等超過 30 個目標,受害範圍從智能合約、跨鏈橋擴展至中心化服務提供商和高資產個人。區塊鏈情報公司 TRM Labs 數據顯示,自 2017 年以來北韓已盜取超過 50 億美元(約港幣 390 億元)加密貨幣,2024 年北韓佔所有被盜資金 35%,其攻擊規模幾乎是其他行為者五倍。
產業面臨的結構性安全挑戰
EtherHiding 技術出現顯著增加了追蹤和干擾攻擊活動的難度,傳統網絡防禦機制面臨根本性挑戰。開放網頁應用程式安全計畫(OWASP)2025 年 9 月發布的《智能合約十大漏洞》報告指出,重入攻擊、存取控制漏洞和不安全的外部調用等問題仍然普遍存在於智能合約中。區塊鏈分析公司 Chainalysis 強調,預防攻擊關鍵在於可見性,鏈上數據為安全團隊提供識別異常交易模式、與已知惡意合約互動或突然流動性變動等紅旗的窗口。
Mandiant 追蹤的另一組織 UNC5142 自 2023 年底以來也使用 EtherHiding 技術分發資訊竊取軟件,包括 ATOMIC、VIDAR、LUMMAC.V2 和 RADTHIEF。截至 2025 年 6 月,Google 威脅情報組已識別約 14,000 個包含與 UNC5142 相關的注入 JavaScript 的網頁,顯示此技術正被多個威脅組織採用。UNC5142 主要針對易受攻擊的 WordPress 網站,導致廣泛且機會主義的攻擊行動,影響各行業和地理區域。
企業防禦策略與未來展望
面對這種新型威脅,企業需要採取多層次防禦策略。Google 威脅情報組建議管理者對高風險檔案類型(.EXE、.MSI、.BAT、.DLL)實施下載限制,全面管控瀏覽器更新,並在企業環境中執行嚴格的網頁連接及腳本執行策略。針對頻繁出現的職位邀請,員工應保持高度警惕,在隔離環境下測試任何下載檔案。
區塊鏈安全需要整合多種技術手段:地址標記可標識與詐騙和混幣器相關的錢包;歸因資料庫支援更快速、更準確的資金追蹤;協議審計和智能合約測試能在部署前發現漏洞;跨鏈可見性對於檢測跨多個生態系統的攻擊至關重要。然而加密貨幣監管格局的不一致性,使北韓黑客能在保護薄弱的地區運作,逃避協調執法行動。雖然美國等國已實施針對北韓網絡犯罪的單邊制裁,但缺乏國際合規性使這些措施效果有限。
資料來源: Google Cloud Threat Intelligence Group Elliptic The Hacker News
