Passa ai contenuti principali

Malware su Ethereum. La blockchain come arma, EtherHiding e la nuova strategia hacker nordcoreana

Nel panorama sempre più sofisticato delle minacce informatiche globali, un nuovo capitolo si apre con l’adozione da parte di gruppi hacker nordcoreani della tecnica nota come EtherHiding, un metodo innovativo che sfrutta la resilienza delle blockchain pubbliche per occultare e distribuire malware. 

Secondo quanto riportato da fonti autorevoli come The Hacker News, Ars Technica e il blog ufficiale di Google Cloud, il gruppo UNC5342, già noto con numerosi alias tra cui Famous Chollima e Void Dokkaebi, ha impiegato questa tecnica per nascondere payload malevoli all’interno di smart contract su reti Ethereum e BNB Chain. EtherHiding consente agli attori malevoli di utilizzare transazioni blockchain come “host a prova di rimozione”, rendendo i contenuti dannosi virtualmente impossibili da eliminare tramite i metodi tradizionali di takedown o blocklisting.

Questa strategia rappresenta un’evoluzione significativa rispetto ai precedenti approcci, poiché sfrutta l’immutabilità e la decentralizzazione delle blockchain per garantire una persistenza operativa senza precedenti. Il gruppo UNC5342 ha integrato EtherHiding in una campagna denominata Contagious Interview, in cui le vittime vengono contattate tramite LinkedIn con offerte di lavoro fasulle, inducendole a scaricare codice malevolo camuffato da strumenti di sviluppo. Una volta installato, il malware recupera ulteriori componenti direttamente dagli smart contract, bypassando i controlli tradizionali e sfruttando la natura pubblica delle blockchain per eludere la sorveglianza.

Secondo il Google Threat Intelligence Group, questa è la prima volta che un attore statale adotta EtherHiding in modo sistematico, segnando un punto di svolta nella cyberwarfare. La tecnica non solo permette una distribuzione decentralizzata del malware, ma complica enormemente le operazioni di risposta e mitigazione da parte delle autorità e dei ricercatori di sicurezza.

L’uso di EtherHiding da parte della Corea del Nord si inserisce in una strategia più ampia di furto di criptovalute, con l’obiettivo di finanziare attività governative eludendo le sanzioni internazionali. Le implicazioni sono gravi: la blockchain, nata come strumento di trasparenza e decentralizzazione, viene ora strumentalizzata per scopi malevoli, trasformandosi in un vettore di attacco resistente e difficile da neutralizzare.
Tag:

Commenti

Posta un commento

Popolari

Infrastrutture sotto attacco, compromessi i sistemi audio e display di due aeroporti. “Free Palestine” dagli altoparlanti

Nella serata del 15 ottobre 2025, un episodio tanto inquietante quanto insolito ha attirato l’attenzione dei media internazionali: in almeno due aeroporti – l’Harrisburg International Airport, in Pennsylvania, e il Kelowna International Airport, in British Columbia (Canada) – l’impianto di diffusione sonora (PA, “public address system”) è stato violato da un attore non autorizzato che ha diffuso messaggi politici ad alta voce. In alcuni casi, anche i display destinati a fornire informazioni sui voli sono stati compromessi, propagando slogan a favore della causa palestinese e insulti contro figure politiche come Donald Trump e Benjamin Netanyahu. Secondo la dichiarazione ufficiale dell’aeroporto di Harrisburg, un “utente non autorizzato” è riuscito a ottenere accesso al sistema PA e a riprodurre un messaggio preregistrato a carattere politico prima che l’impianto fosse spento per le indagini. Il messaggio – durato circa dieci minuti – includeva frasi come “Free Palestine” e insulti cont...
Posta un commento
Continua a leggere »

Lexo e la sicurezza del codice, un nuovo paradigma per mitigare le backdoor

Negli ultimi anni, uno dei pericoli più subdoli nel mondo della sicurezza informatica non arriva da exploit spettacolari o ransomware devastanti, ma da qualcosa di molto più silenzioso: il codice fidato che improvvisamente smette di esserlo. Gli attacchi alla supply chain del software — cioè la compromissione di librerie, pacchetti o strumenti usati quotidianamente dagli sviluppatori — rappresentano oggi una delle minacce più sofisticate e difficili da individuare. Il principio è semplice e inquietante: un aggressore modifica un componente open source o una dipendenza legittima, inserendo al suo interno una logica malevola nascosta. Niente crash, niente segnali evidenti. Tutto continua a funzionare come previsto, finché, in determinate condizioni, quel codice “dormiente” non si risveglia. È successo più volte, basti ricordare casi come la compromissione di librerie NPM o pacchetti Python utilizzati da migliaia di progetti nel mondo. A questo tipo di minaccia prova a rispondere Lexo, un...
Posta un commento
Continua a leggere »