Un nuovo incubo per il mondo delle criptovalute: dagli hacker nordcoreani arriva una tecnica che fa tremare anche gli esperti più scafati. Si chiama EtherHiding e, come se non bastassero le truffe tradizionali, sfrutta la robusta e apparentemente immacolata blockchain per nascondere dei malware praticamente inarrestabili. Se pensavi che la catena di blocchi fosse inviolabile… è tempo di mettere i guanti da boxe (digitali) e leggere questa storia!
Come funziona EtherHiding: il colpo di genio (malvagio) sulla blockchain
Tutto parte dalla scoperta fatta dai ricercatori del Google Threat Intelligence Group (GTIG): i pirati informatici del regime di Pyongyang hanno iniziato, da febbraio 2025, a nascondere i propri malware direttamente sulla blockchain. Sì, proprio quella che sottende le criptovalute e che, fino ad oggi, evocava soltanto immagini di decentralizzazione e sicurezza. Questi attacchi hanno ricevuto un nome da brivido: EtherHiding, perché sfruttano in modo particolare la blockchain di Ethereum, ma anche la Binance Smart Chain non viene risparmiata.
Ma anziché infettare i soliti server (facili da bloccare e controllare), i pirati inseriscono il codice dannoso all’interno degli smart contract (contratti intelligenti) sulla blockchain. Questi piccoli programmi, usatissimi nella DeFi, muovono miliardi ogni giorno gestendo i trasferimenti e la sicurezza degli asset digitali. E ora sono diventati anche rifugio perfetto per malware.
- Basta creare uno smart contract e nasconderci dentro il malware come una normale informazione.
- Il contratto può essere aggiornato dai criminali tutte le volte che lo desiderano: uno intercettato da Google è stato modificato oltre 20 volte in soli quattro mesi!
- Una volta che il codice è sulla blockchain, non si può più rimuovere: nessuna censura possibile, nessuna “spugna” digitale in grado di cancellarlo.
Così, la blockchain stessa diventa un’arma contro gli utenti. Una trovata mai vista prima, che sta già seminando il panico tra forze dell’ordine e ricercatori: “Segna un’escalation nel panorama delle minacce: ora anche gli Stati usano tecniche inaudite per diffondere malware praticamente impossibili da fermare”, sottolinea Robert Wallace, il ricercatore Google che ha alzato il velo sull’attacco.
Caccia al talento… per truffarlo: la strategia social degli hacker
L’attacco EtherHiding, raffinato come una trappola ben oliata, parte tutto da innocue (si fa per dire) offerte di lavoro per sviluppatori. I criminali si fingono start-up cripto promettenti e sfoderano profili credibili sui social e sulle piattaforme di recruiting: veri artisti della menzogna digitale. L’obiettivo? Attirare sviluppatori veri e invitarli a un colloquio online.
Durante l’intervista, la vittima viene invitata a svolgere una prova di competenza, cioè l’esecuzione di uno script sul proprio computer. Ed è qui che scatta la tagliola: lo script richiama, dalla blockchain, un secondo codice dannoso nascosto dentro uno smart contract. Benvenuto JADESNOW, il malware direttamente importato dalla catena di blocchi!
- JADESNOW non fa altro che scaricare e avviare il vero arsenale spionistico della faccenda, chiamato InvisibleFerret.
- Questa piccola “donnola invisibile” si intrufola dappertutto: naviga tra i browser per estrarre password, mail, numeri di carte e (soprattutto!) dati dalle estensioni crypto più popolari come MetaMask e Phantom.
- Setaccia l’intero computer alla ricerca delle chiavi private dei wallet cripto, l’obiettivo preferito.
Il bottino e i veri autori: il gruppo UNC5342
Dopo la raccolta dei dati, InvisibleFerret li impacchetta in uno ZIP e li invia all’esterno, senza dare nell’occhio. I dati rubati volano su Telegram (tramite bot o canali privati) oppure su server remoti al sicuro dagli sguardi indiscreti. Una volta ottenute queste preziose informazioni, i pirati possono accedere ai wallet e saccheggiare le criptovalute delle vittime. E, diciamocelo, è proprio questo il senso di tutta l’operazione.
Dietro queste manovre c’è un gruppo con nome in codice UNC5342, una vera task force cyber su mandato della Corea del Nord e specializzata nei furti di criptovalute. E il loro pedigree è rispettabile (si fa per dire): già quest’anno, i cybercriminali nordcoreani hanno trafugato la bellezza di 2 miliardi di dollari in asset digitali! Il gruppo affianca altri “mostri sacri” del crimine informatico nordcoreano, come i famigerati hacker di Lazarus, già responsabili del colpo più clamoroso della storia cripto: l’attacco all’exchange Bybit del febbraio scorso.
Conclusione: difendersi si può?
In questo nuovo scenario, ogni sviluppatore o utente crypto è un potenziale bersaglio. Fidarsi delle apparenze online (soprattutto su offerte di lavoro troppo allettanti) potrebbe costare molto caro, specie se si tratta di scaricare ed eseguire script sconosciuti. Il consiglio? Restare vigili, aggiornare i propri sistemi di sicurezza e – sembra banale, ma non lo è mai abbastanza – evitare di lasciare le chiavi dei propri wallet crypto in bella vista, foss’anche solo in una cartella del desktop.
La blockchain, invenzione pensata per proteggere, può trasformarsi in trappola letale se finisce nelle mani sbagliate. Vale la pena ricordarlo la prossima volta che ricevi un’offerta di lavoro sospetta da una misteriosa start-up coreana…
Articoli simili
- Attenzione: se il tuo codice bancomat è tra questi, il rischio di truffa è altissimo secondo gli esperti
- Ricevete questo messaggio su WhatsApp? Non rispondete assolutamente !
- Hacker colpiscono Andrea Galeazzi: YouTube oscurato e la sua reazione disperata
- La nuova truffa su WhatsApp che sta rubando account: ecco come riconoscerla e difendersi
- UNIEMENS malattia: Scopri le nuove regole e il calendario giornaliero con Smart Task!
Lisa Chichi vi porta in un mondo di scoperte curiose e storie sorprendenti. Ogni giorno condivide fatti insoliti e curiosità culturali che stimolano la vostra mente e arricchiscono le vostre conversazioni.
