北朝鮮のハッカーが新たな手口を披露：ブロックチェーンを遠隔操作サーバーとして使用し、Crypto業界の関係者がフィッシング被害に遭う

グーグルとシスコのセキュリティチームは最近、少し厳しい事実を発見しました——北朝鮮のハッカーグループがブロックチェーンを利用して悪意のあるコードを隠しており、本質的にパブリックチェーンを分散化されたC&Cサーバーとして使用しています。

ハッカーの新しい手口：偽の求人→悪意のあるコード→チェーン上のリモートコントロール

ハッカーグループUNC5342は、EtherHidingと呼ばれるマルウェアを開発しました。このマルウェアは、JavaScriptペイロードをパブリックチェーンに埋め込むことを専門としています。これには二つの利点があります：一つは、従来のサーバーを使わずにマルウェアの動作をリモートで変更できること；もう一つは、法執行機関が追跡して閉鎖するのが非常に難しいことです。

更欠かせないのは、彼らのターゲットはCryptoとネットセキュリティの従事者であることです。手口は偽の技術評価ポジションを発表→候補者を"技術試験"に招待→悪意のあるコードを含むファイルをダウンロードさせることです。一旦引っかかると、BeaverTailとOtterCookieという二つのトロイの木馬が始まります：

• あなたのすべてのキーストローク（秘密鍵、パスワードを含む）を記録します
• スクリーンショットを撮る
• データをリアルタイムでハッカーのサーバーに送信する

なぜCrypto業界の人々を対象にしているのか？

とても簡単です——このグループの人々は、ウォレットを持っているか、システムの権限を持っているか、またはその両方を持っています。彼らのマシンを攻撃すると、ハッカーは次のことができます：

1. 直接盗コイン — ウォレット、取引所アカウントにアクセスする
2. 長期潜伏 — ランサムウェアを埋め込み、スパイ活動を行う
3. サプライチェーン攻撃 — 業界関係者の作業用コンピュータから彼らがサービスを提供するプロジェクト/会社に侵入する

シグナルに注意してください

• 知らないHRが突然DMを送ってきて、高給のポジションに招待する
• "技術評価ツール"または"コードエディタ"のダウンロードを要求します
• 面接プロセスが超速か異常に簡単

シスコとグーグルはIOC（攻撃指標）を発表しました。セキュリティチームはこれらの特徴値を使って脅威を検出できます。しかし、本当の防線はみんなの手の中にあります——一つの不注意なダウンロードがハッカーを招き入れることができます。

この操作は一つのトレンドを示しています：ブロックチェーンはただのコイン投機に使われるだけでなく、ハッカーもその特性を掘り下げています。分散化の特性は彼らのコマンド制御ネットワークをより破壊しにくくしています。