北朝鮮ハッカーの新たな手口：悪意のあるコードをスマートコントラクトに隠して通貨を盗む

グーグルの脅威インテリジェンスチームは最近、「EtherHiding」と呼ばれるハッカー手法を暴露しました。北朝鮮のハッカーがこれを使用して通貨や敏感な情報を盗んでいます。この手法は2023年から使用されており、今ではますます横行しています。

この手口はどうやって騙すのか

ハッカー套路基本はこうです：

第一歩：フィッシング

• 偽の会社、偽の求人サイトを設立する
• プログラマーや暗号開発者に偽の求人メールを送信する
• プロフェッショナルに装っていて、給料も高い

ステップ2:ポジションをシフトする

• チャットをDiscordまたはTelegramのプライベートチャットに移動する
• あなたを"技術テスト"や"プログラミングタスク"をさせるために騙す
• GitHubから"コードファイル"をダウンロードさせる（実際はすべてウイルス）
• またはあなたをビデオ会議に誘導し、偽のエラーポップアップを表示して"パッチ"（これもウイルス）をダウンロードさせようとします

第三歩：データを盗む

• 装入されたJavaScriptマルウェアは"JADESNOW"と呼ばれます
• あなたのプライベートキー、ウォレット情報、データを狂ったように盗み始める
• 高価値ターゲットはバックドアが埋め込まれ、ハッカーが長期間駐在することがあります。

なぜこの手口は見つけにくいのか

鍵はチェーン上の隠れ術：

• 悪意のあるコードがパブリックチェーンのスマートコントラクトに隠されている
• "読み取り専用"関数のみを使用してデータを盗み、実際の取引を作成しない
• このようにブロックチェーンブラウザでは異常な取引が見えず、ハッカーはガス代を節約しました
• ウェブサイトはLoaderスクリプトで制御され、契約内の悪意のあるコードを呼び出します
• ユーザーは何も知らずに、ウォレットの中の通貨がなくなった

どう防ぐか

1. 求人情報は確認が必要 - 会社の公式ウェブサイトやLinkedInで直接確認し、メール内のリンクをクリックしないでください。
2. コードベースは慎重に - GitHubからダウンロードしたもの、特に見知らぬ人が送ったものは、まずウイルスライブラリをスキャンする。
3. ビデオ会議には注意が必要 - 正規の会社は面接時にあなたにパッチをダウンロードさせることはありません
4. ウォレットの権限を管理する - 定期的に承認された契約やウォレットの活動を確認する
5. オンチェーンインタラクションに注意 - スマートコントラクトのアドレスの真偽を確認し、盲目的に権限を承認しないこと

グーグルは全体の暗号通貨コミュニティに対して警戒を強めるように提案しており、この攻撃は主に開発者を対象としていますが、一般ユーザーも簡単に標的になる可能性があります。