Son araştırmalar, Kuzey Kore'nin devlet destekli bir hacker grubunun, kötü amaçlı yazılımları barındırmak için halka açık blokzincirleri kullanmaya başladığını ortaya koyuyor. Bu durum, tespit edilmekten kaçınmak ve engelleme operasyonlarını baltalamak amacıyla akıllı sözleşmelere kötü amaçlı JavaScript kodları yerleştirme tekniğinin ilk defa bir devlet aktörü tarafından kullanıldığına dair belgelenmiş ilk vaka olarak kayıtlara geçti.
Yapılan incelemeler, bu faaliyetlerin uzun süredir devam eden ve geliştiriciler ile kripto para profesyonellerini hedef alan bir operasyonla bağlantılı olduğunu gösteriyor. Şubât 2025'te bu yeni tekniği kullanmaya başlayan grubun kullandığı araç setinde, BNB Akıllı Zinciri ve Ethereum akıllı sözleşmelerinde depolanan verilerden doğrudan bir arka kapı olan INVISIBLEFERRET'i indirip çalıştıran JADESNOW adlı bir JavaScript indirme aracı bulunuyor.
Bu zararlıların yayılma mekanizması, yalnızca okunabilir blokzincir çağrılarına dayanıyor. Bu tür istekler, yeni işlem oluşturmadığı veya blokzincir analiz araçlarında görünür bir iz bırakmadığı için tespit edilmesi güçleşiyor. Üstelik akıllı sözleşmelerin değiştirilemez yapısı nedeniyle, güvenlik uzmanlarının yerleştirilmiş kodları kaldırması da mümkün olmuyor.
Bu teknik sayesinde, saldırganlar dağıtım sitelerini veya kullanıcıları yeniden ele geçirmeye gerek kalmadan, zincir üzerindeki sözleşme depolama değişkenlerini yeniden yazarak kötü amaçlı yazılım yüklerini güncelleyebiliyor veya değiştirebiliyor. Finansal amaçlı aktörler daha önce de bu tür altyapıları kullanmış olsa da, bu durum bir devlet destekli grubun bu tekniği operasyonel araç kutusuna eklediği ilk örnek olarak öne çıkıyor.
Blokzincir altyapısındaki bu tehditler, ele geçirilmiş web siteleri ve sosyal mühendislik taktikleri aracılığıyla dağıtılan gerçek dünya enfeksiyonlarıyla ilişkilendiriliyor. Bu yöntemler arasında, kripto geliştiricilerini cezbetmek amacıyla tasarlanmış sahte iş görüşmeleri de yer alıyor. Kurbanlar, bu siteleri ziyaret ettiklerinde JADESNOW yükleyicisini indiriyor. Ardından bu yükleyici, zincir üzerindeki akıllı sözleşmelere ulaşıyor, bir JavaScript yükü alıyor ve bunu yerel olarak çalıştırıyor. Bu yük, tam teşekküllü bir arka kapı olan ve uzun vadeli casusluk ile veri hırsızlığına olanak tanıyan INVISIBLEFERRET'i başlatıyor.
Akıllı sözleşme verilerinin nasıl alındığına dair kesin bilgiler paylaşılmasa da, daha önceki araştırmalar saldırganların genellikle standart JSON-RPC çağrılarına başvurduğunu gösteriyor. Bu çağrılar genel veya barındırılan altyapılar üzerinden yapılabilir. Bu hizmetleri engellemek veya kullanıcıları kısıtlayıcı politikalarla kendi kendine barındırılan düğümleri kullanmaya zorlamak, geçici bir çözüm olabilir. Tarayıcı tarafında ise, kuruluşlar katı eklenti ve betik yürütme politikaları uygulayarak ve güncellemeleri kilit alt na alarak sahte Chrome benzeri uyarıların yayılmasını engelleyebilir.
