Die nordkoreanische Gruppe UNC5342 nutzt seit Februar 2025 laut Google Threat Intelligence die Technik EtherHiding, um Schadcode in Smart Contracts auf öffentlichen Blockchains zu verstecken und bedarfsgerecht auszuspielen. Die Kampagne, intern als Contagious Interview bezeichnet, zielt auf die Entwendung von Kryptoassets und markiert das erste dokumentierte Auftreten dieser Methode durch staatlich unterstützte Akteure.
EtherHiding erklärt: Smart Contracts, read-only Calls und Ausfallsicherheit
EtherHiding wurde 2023 von Guardio Labs beschrieben: Payloads werden in Smart-Contract-Speicher eingebettet und per read-only-Aufrufen (z. B. eth_call) ausgelesen. Diese Aufrufe sind keine Transaktionen, erzeugen deshalb keine sichtbare On-Chain-Historie und umgehen klassische Takedown-Mechanismen von Domains/IPs. Angreifer können Inhalte schnell rotieren und Payloads aktualisieren, ohne herkömmliche C2-Infrastrukturen.
TTPs von UNC5342: Fake-Interviews, JavaScript-Loader und Multi-Chain-Hosting
Initialzugang über Testaufgaben für Entwickler
Der Erstzugang erfolgt über Scheinunternehmen wie BlockNovas LLC, Angeloper Agency und SoftGlide LLC, die Bewerber mit „Testaufgaben“ ködern. In den Materialien verbirgt sich Code, der einen JavaScript-Loader startet. Das missbraucht die übliche Bereitschaft von Dev-Teams, fremde Skripte zum Kompetenznachweis auszuführen.
JADESNOW und InvisibleFerret: Delivery, In-Memory-Ausführung, Exfiltration
Der über einen Smart Contract gehostete Loader JADESNOW lädt aus Ethereum den Third-Stage-Payload: eine JavaScript-Variante von InvisibleFerret, ausgelegt auf Langzeitspionage. Die Malware läuft in-memory, kann einen Credential-Stealer dynamisch nachladen und Daten zu externen Servern oder über Telegram ausschleusen. Die Operatoren wechseln zwischen Ethereum und der BNB Smart Chain, um Analysen und Blockierungen zu erschweren.
Ziele, Schadensbild und betroffene Umgebungen
Der Stealer fokussiert Passwörter, Zahlungsdaten und Krypto-Wallets (u. a. MetaMask, Phantom) sowie Browser-Artefakte aus Chrome und Edge. Für Unternehmen reichen die Auswirkungen von kompromittierten Konten über Abfluss von Quellcode bis hin zu direktem Finanzschaden durch Krypto-Diebstahl – besonders kritisch für Teams mit Blockchain-Zugriff, DevOps und CI/CD.
Ökonomik und Agilität: günstige Updates, schwerer Takedown
Telemetry zeigt, dass der relevante Smart Contract in den ersten vier Monaten über 20-mal aktualisiert wurde – bei durchschnittlichen Gas-Kosten von rund 1,37 US‑Dollar pro Update. Die niedrigen Kosten begünstigen hochfrequente Konfigurationswechsel und unterlaufen statische Indicators of Compromise (IoCs).
Warum Blockchain-Hosting die Abwehr erschwert
Öffentliche Blockchains wirken faktisch wie „bulletproof Hosting“: Sie sind global verteilt, schwer deplatziert und lassen sich nicht einfach per Domain-Sperre unterbinden. Read-only-Zugriffe reduzieren forensische Spuren, und Multi-Chain-Strategien mindern die Wirksamkeit von Blocklisten. Effektive Erkennung verlagert sich daher auf verhaltensbasierte Analytik am Endpoint und auf die Kontrolle ausgehender Verbindungen, inklusive ungewöhnlicher Blockchain-RPC-Aufrufe.
Praxistipps: harte Oberflächen für Entwickler, SOC und HR
Für Entwickler/Teams: Testaufgaben ausschließlich in isolierten Umgebungen (VM/Container) ohne Zugriff auf Firmenkonten oder Wallets ausführen; Wallet-Erweiterungen in Testbrowsern deaktivieren; Dateien und Skripte vor Ausführung mit Sandbox und statischer Analyse prüfen.
Für SOC/Blue Teams: EDR/NGAV mit strikten Policies für Skriptausführung (JavaScript/WScript/Node.js); Monitoring von Ethereum/BNB-RPC-Aufrufen (z. B. eth_call) aus Browsern und Dev-Tools; Egress Filtering und DLP gegen Exfiltration (einschließlich Telegram API); strikte Segmentierung und Least Privilege für Entwicklerkonten.
Für HR/Sicheren Einstellungsprozess: Standardisierte Prüfpfade für Testaufgaben; Bereitstellung interner Aufgaben-Templates statt fremder Codepakete; externe Materialien über sichere Gateways und Sandboxes prüfen.
Die Beobachtungen decken sich mit längerfristigen Mustern nordkoreanischer APTs, die laut öffentlichen Berichten von Guardio Labs (EtherHiding, 2023) sowie US-Behördenhinweisen (u. a. CISA/FBI zu Krypto-fokussierten Kampagnen) wiederholt auf Krypto-Ökosysteme abzielen. Organisationen sollten ihre Code-Hygiene stärken, Testumgebungen strikt isolieren und verhaltensbasierte Detection einführen – insbesondere für Skriptaktivität und anomale Blockchain-RPCs. Wer diese Kontrollen früh etabliert, senkt die Wahrscheinlichkeit von Kontoübernahmen und Krypto-Diebstahl signifikant.
