Google vincula hackers da Coreia do Norte ao uso de ‘EtherHiding’ para hospedar malware em Ethereum e BNB

Técnica aproveita dados on-chain para distribuir código malicioso e, segundo a equipe de inteligência da empresa, já havia sido usada por grupos criminosos antes de ser adotada por atores ligados à Coreia do Norte

O Grupo de Inteligência de Ameaças do Google vinculou hackers norte-coreanos ao emprego de EtherHiding, uma técnica de malware que se apoia em blockchains para distribuição e persistência. De acordo com a equipe, o método — já observado em operações de grupos criminosos — está sendo reutilizado por atores associados à Coreia do Norte. O foco, neste caso, recai sobre as redes Ethereum e BNB, que servem como camadas de armazenamento e fornecimento de conteúdo malicioso. A ligação feita pela unidade de inteligência da empresa amplia a gravidade do quadro, ao aproximar uma prática antes predominantemente criminosa de um uso por agentes com motivação estatal.

EtherHiding descreve uma abordagem em que partes do malware, como instruções, chaves de configuração ou cargas secundárias, são inseridas em dados on-chain e recuperadas por aplicações conectadas à rede. Como esses dados são replicados por milhares de nós e ancorados por consenso, a remoção ou derrubada segue uma dinâmica distinta da de servidores tradicionais. Em vez de um domínio ou provedor centralizado, a infraestrutura maliciosa se beneficia da resiliência e da imutabilidade típicas das blockchains públicas. Isso torna a resposta a incidentes mais complexa, exigindo monitoramento de transações e análises de contratos para identificar indicadores de comprometimento.

A presença simultânea em Ethereum e BNB também amplia a superfície de ataque, ao diversificar os pontos de acesso e reduzir a eficácia de bloqueios isolados. Em um cenário desse tipo, ferramentas de segurança precisam observar não apenas tráfego web convencional, mas também interações com APIs e nós de blockchain que podem servir de canal para buscar conteúdo malicioso. O caráter público das redes permite que qualquer parte leia dados on-chain, o que facilita a automação do resgate de fragmentos de código sem depender de uma única infraestrutura de comando e controle. O resultado é um ecossistema de distribuição mais resiliente e, potencialmente, mais difícil de rastrear e interromper.

Atribuir esse uso a hackers associados à Coreia do Norte adiciona uma dimensão geopolítica à ameaça, com possíveis impactos a plataformas cripto, bolsas, protocolos DeFi e carteiras. Historicamente, campanhas vinculadas ao país miram recursos financeiros e propriedade intelectual, e a adoção de EtherHiding seria coerente com a busca por meios de evasão e persistência. Para as organizações, as implicações práticas incluem reforçar políticas de integridade de conteúdo, inspecionar dependências que interagem com dados on-chain e aprimorar telemetria para detectar padrões anômalos de consulta a redes públicas. Em paralelo, a mitigação no nível do ecossistema passa por colaboração entre equipes de segurança, analistas on-chain e validadores para sinalizar endereços e artefatos suspeitos, embora o caráter descentralizado imponha limites a medidas de bloqueio.

O fato de a técnica já ter sido utilizada por grupos criminosos e agora ser atribuída a atores norte-coreanos sugere um ciclo de profissionalização e reuso de táticas que explora a maturidade do setor cripto. À medida que a infraestrutura Web3 se integra a aplicações tradicionais, a fronteira entre superfícies de ataque web e on-chain se estreita, elevando a importância de controles de origem de dados e de listas de permissão para interações com nós e provedores. Para usuários e empresas, a mensagem central é de cautela: o mesmo desenho de resiliência que protege a integridade das redes pode, quando abusado, sustentar cadeias de distribuição maliciosas. Identificar e desativar esses vetores exige combinar análise técnica, resposta coordenada e uma compreensão realista das limitações de intervenção em sistemas descentralizados.