loading...
链上恶意软件是指将有害代码存储或引用在公共区块链上,而非传统网络服务器。黑客可将指令或数据隐藏在智能合约中,其中一种已被发现的技术名为“以太隐藏”。
攻击者会将小型恶意代码或有效载荷植入以太坊或BNB智能链等区块链,再通过看似正常的网页或下载请求获取这些代码。这使得有害程序无需依赖攻击者自有服务器即可触达受害者。近期有国家背景的黑客组织在攻击活动中使用该技术,安全研究人员发现与
朝鲜有关的UNC5342组织曾使用以太隐藏技术,将名为JADESNOW的JavaScript加载器隐藏在网页中。该加载器会从智能合约读取代码,继而运行名为INVISIBLEFERRET的后门程序。
由于智能合约数据公开且不可删除,一旦恶意软件被植入链上,便极难清除。
攻击者并非总是直接向受害者发送常规程序文件,而是采用社交工程手段,例如通过虚假招聘邀约或编程测试诱使开发者运行样本。当样本运行时,会暗中连接区块链并获取实际恶意代码。此类区块链调用常采用只读模式,不会留下常规交易痕迹,从而增强隐蔽性并降低传统检测工具的有效性。
DeFi及其他区块链项目依赖智能合约及其不可篡改性建立信任,但同样的特性也可能被攻击者利用。若恶意软件或控制信息被存储在链上,攻击者即可获得难以审查或移除的持久化命令通道。这为网络战带来新隐患,国家行为体可利用区块链漏洞发起抗清除的长期攻击行动。
智能合约安全团队与审计人员历来重点关注链上代码漏洞,如今还必须审视由链上控制的链下行为。合约在静态审计中可能看似安全,实则仍可能成为恶意载荷的存储点。审计方需要将检查范围扩展至合约数据存储模式及外部脚本调用合约的方式,这一转变将影响DeFi项目的威胁模型构建与监控系统设计。
朝鲜相关组织对链上恶意软件的使用表明,基于区块链的攻击已成为国家级战略的组成部分。此类攻击不仅旨在窃取加密货币,还试图收集凭证、实施系统监控,并建立对抗常规执法与清除机制的韧性防御。对安全防护方而言,必须将区块链漏洞提升至国家与产业安全层面进行应对。
需要构建更健全的智能合约安全体系,关键一步是实现对合约存储与调用的运行时监控。安全团队可开发工具监测智能合约数据中的异常模式,例如编码载荷或与合约意图不符的频繁存储更新。此类监控有助于识别被用作隐蔽内容存储的合约。为智能合约添加动态分析与运行时防护的研究项目已证明该方向具备可行性。
另一项防御措施是强化开发环境并减少风险行为,企业应将未经请求的编程测试与下载视为高风险操作。招聘类网站需严格审查,开发者应在隔离沙箱环境中运行未知样本。使用专用全节点进行区块链查询(而非公共RPC端点)也能提升可见性,便于团队过滤或记录可疑的只读调用。
智能合约安全工具也需持续优化。通过字节码或链上存储恶意意图检测的新型预警系统可帮助团队更快响应。机器学习与操作码层级分析能发现人工审查可能遗漏的异常控制流与数据模式。企业间共享可疑合约地址与已知以太隐藏基础设施的威胁情报,将加速全行业检测响应效率。
链上恶意软件是伴随国家行为体出现的新型严重威胁。朝鲜相关组织采用以太隐藏等技术将恶意软件嵌入智能合约,使区块链成为韧性传播渠道。这一转变揭示了威胁组织正利用区块链的核心特性——持久性、去中心化与开放访问,也展现出网络战已渗透至曾被认为过于透明而难以进行隐蔽操作的环境。通过将恶意代码藏于合约存储,或使链下脚本直接从链上数据获取指令,攻击者构建了几乎无法关闭且极难追踪的命令通道。
这提升了智能合约安全的风险等级,使网络战趋于复杂化。防护方不仅需要关注重入攻击或权限漏洞等传统风险,更要应对将区块链作为基础设施而非攻击目标的新型威胁。为应对挑战,防御体系需升级合约审计方法与开发工作流保护机制。安全团队不仅要检查合约逻辑,还需关注异常数据模式、隐蔽存储字段及非常规公共RPC调用。开发人员入职与招聘流程需要加强防护,因此类攻击多始于诱骗工程师运行恶意代码样本的社会工程学手段。
若区块链领域能快速适应,其开放性与透明度可转化为防御优势,使恶意存储更易被发现、更难被伪装。反之,链上恶意软件或将成为长期顽疾,削弱Web3系统公信力,为国家行为体提供强大的新型隐蔽作战工具。
992
808
335
149
246
804
731
907
