Kuzey Koreli bilgisayar korsanlarının halka açık blockchain ağlarındaki akıllı sözleşmelere kötü amaçlı kod yerleştirip kripto ve hassas verileri çalmaya yönelik yeni bir yöntem benimsediği bildirildi.
Google Tehdit İstihbarat Grubu’nun raporuna göre “EtherHiding” adı verilen teknikte saldırganlar önce sahte iş teklifleri ve yüksek profilli röportajlar gibi sosyal mühendislik hamleleriyle kurbanları hedef alıyor; sonra yasal görünen bir web sitesinin kontrolünü ele geçirip siteye JavaScript tabanlı yükleyici (loader) yerleştiriyor. Bu yükleyici, kullanıcı tehlikeli siteyle etkileşime girdiğinde akıllı sözleşmelerdeki gizli kötü amaçlı kod paketini tetikliyor.
Google araştırmacıları, saldırganların tespit edilmekten kaçınmak için blokzinciriyle “salt okunur” işlevler üzerinden iletişim kurduğunu ve böylece defter üzerinde doğrudan işlem oluşturmadan hedeflerine erişip işlem ücretlerini (gas) minimize ettiklerini belirtiyor. Cihazlara bulaşan kötü amaçlı yazılımın ikinci aşaması olarak adlandırılan “JADESNOW” adlı JavaScript tabanlı bileşenin devreye girdiği, bu aşamanın hassas verileri çalmak için kullanıldığı; yüksek değerli hedeflerde ise üçüncü aşamayla uzun süreli arka kapı erişimi sağlandığı aktarıldı.
Google, geliştiriciler ve kripto kullanıcılarını sahte iş ilanları, işe alım testleri ve bilinçsizce indirilen “yama” veya depolardan (ör. GitHub) gelen dosyalara karşı uyanık olmaya çağırdı. Raporda Discord ve Telegram gibi platformlarda iletişime geçilmesi, çevrim içi kod depolarından dosya indirilmesi ve video görüşmeleri sırasında sahte hata mesajlarıyla yönlendirilme gibi yaygın saldırı örnekleri sıralanırken, bireyler ile kurumlara fon ve veri güvenliğini sağlayacak güçlü uygulama- ve ağ güvenliği önlemlerinin uygulanmasının önemi vurgulandı.
Yorum yapabilmek için giriş yapmış olmalısınız.
