Google slaat alarm: Noord-Koreaanse hackers verstoppen malware in Ethereum en BNB

In dit artikel:

Onderzoekers van Google’s Threat Intelligence Group waarschuwen dat Noord-Koreaanse hackers een nieuwe werkwijze inzetten: schadelijke code verbergen in slimme contracten op blockchains zoals Ethereum en BNB Chain. Deze techniek, door Google aangeduid als “EtherHiding”, plaatst malware direct op de ledger, waardoor de code automatisch draait en niet eenvoudig offline gehaald kan worden.

De aanvallen beginnen vaak buiten de keten: gehackte websites (veelal WordPress) leiden bezoekers onopgemerkt naar valse inlogpagina’s of laten besmette downloads starten. Gebruikers die daar op ingaan riskeren dat privésleutels, inloggegevens of toegang tot crypto-wallets worden buitgemaakt. Omdat de kwaadaardige logica in onwijzigbare smart contracts staat, helpt melden of het identificeren van de code slechts beperkt — het contract blijft actief op de blockchain.

Google en het onderzoeksbureau Elliptic koppelen de campagne aan een bredere reeks Noord-Koreaanse crypto-diefstallen. In 2025 zou dat regime al goed zijn voor meer dan 2 miljard dollar aan gestolen cryptovaluta; sinds 2017 is het totaal naar schatting boven de 6 miljard dollar. Grote incidenten betroffen platforms als Bybit, WOO X en Seedify. Westerse inlichtingendiensten stellen dat veel van de opbrengst het nucleaire programma van Noord-Korea financiert.

Advies voor gebruikers: wees terughoudend met onbekende sites en pop-ups, klik niet zomaar op downloads en beperk het gebruik van online (hot) wallets. Veiligheidsexperts raden aan hardware-wallets te gebruiken, software en extensies actueel te houden, dubbele authenticatie in te schakelen en alleen met vertrouwde diensten te werken. Op technisch niveau blijft het bestrijden van EtherHiding lastig; effectieve verdediging vereist zowel betere on-chain detectie als striktere hygiëne bij gebruikers.