Google Threat Intelligence meldet, dass die nordkoreanische Gruppe UNC5342 erstmals die Technik „EtherHiding“ einsetzt, um Malware über öffentliche Blockchains zu laden und Kryptowährungen zu stehlen – der erste beobachtete Nation-State-Einsatz dieser Methode.
Seit Februar 2025 läuft eine Social-Engineering-Kampagne („Contagious Interview“), bei der Entwickler mit Fake-Jobs geködert werden; ein JavaScript-Loader namens JADESNOW zieht anschließend per Smart Contract die nächste Stufe bis hin zum Backdoor INVISIBLEFERRET nach. Die Payloads liegen auf BNB Smart Chain und Ethereum und werden via read-only Calls abgefragt – robust gegen Takedowns und Blocklisten.
Indikatoren (Auswahl): BSC-Contract 0x8eac…a71c, Ethereum-Tx 0x86d1…1a33a (Backdoor), 0xc2da…8cd0f (Split-Payload). GTIG stellt zudem Erkennungen (u. a. YARA) und Abwehrhinweise bereit.
Laut Hochrechnung von FinanceFeeds belaufen sich die gestohlenen Beträge auf über 2 Mrd US Dollar in 2025.
