Ein beunruhigender Blick hinter die Kulissen der Blockchain-Welt: Während viele Krypto-Fans über ihre Gewinne jubeln und Blockchains für unbesiegbar halten, haben nordkoreanische Hacker eine Schockwelle ausgelöst. Google entdeckte eine dreiste neue Masche: Seit Februar 2025 verstecken Cyberkriminelle Malware direkt auf der Blockchain. Was nach einem Drehbuch für einen Thriller klingt, ist bittere Realität – und das Herz der Kryptos schlägt nun ein paar Takte schneller.
Die Hintertür zur Blockchain: So funktioniert der Trick
Die Forscher des Google Threat Intelligence Group (GTIG) schlugen Alarm: Unter dem lässigen Namen „EtherHiding“ betreiben nordkoreanische Hacker seit Kurzem ein perfides Versteckspiel. Statt ihren Schadcode auf gewöhnlichen Servern – und damit auf dem Silbertablett für Behörden – zu parken, schmuggeln sie ihre Malware direkt in sogenannte Smart Contracts auf Ethereum oder der Binance Smart Chain. Wer bisher dachte, diese Verträge seien nur was für clevere DeFi-Anwendungen, irrt: Sie sind jetzt auch ein Hackerparadies.
- Mit dieser einfachen Kachel neben Tomaten wachsen sie schneller und kräftiger
Mit dieser einfachen Kachel neben Tomaten wachsen sie schneller und kräftiger
- Schock in der Küche: Dieses Alltagsgewürz wirkt wie ein hochwirksames Insektizid
Schock in der Küche: Dieses Alltagsgewürz wirkt wie ein hochwirksames Insektizid
- Smart Contracts sind automatisierte Programme auf der Blockchain, die Transaktionen abwickeln, Krypto-Assets verwalten und Transfers absichern.
- Doch öffentlich bedeutet für die Hacker: Zugang für alle, Kontrolle für niemanden.
- Sie setzen den Schadcode wie eine Datenzeile in den Vertrag ein.
- Der Clou: Sie können den Code je nach Bedarf jederzeit aktualisieren. Ein von Google entdeckter Smart Contract wurde in nur vier Monaten über 20-mal modifiziert.
Einmal in die Blockchain eingraviert, ist der Code gewissermaßen unsterblich. Keine Zensur, kein Löschknopf, keine Chance für Ordnungshüter. Die Blockchain dient so als undurchdringlicher Bunker für Schadsoftware.
Gefährliches Krypto-Karussell: Die Angriffskette im Detail
Das Vorgehen der nordkoreanischen Cyber-Künstler beginnt erstaunlich harmlos: mit vermeintlichen Jobangeboten für Entwickler. Die digitalen Gauner geben sich als innovative Krypto-Start-ups aus, erschaffen Fake-Firmen mit glaubwürdigen Profilen auf Karrierenetzwerken oder Jobportalen. Haben sie ein Opfer an der Angel, laden sie zu einem Online-Vorstellungsgespräch.
Der Ablauf ist trügerisch einfach:
- Im Gespräch locken sie das Opfer zu einem Kompetenztest.
- Dazu soll ein scheinbar harmloses Skript auf dem Computer ausgeführt werden. Jeder Entwickler kennt solche Prüfungen. Doch hier schnappt die Falle zu: Das Skript lädt im Hintergrund einen weiteren Code herunter – versteckt in einem Smart Contract auf der Blockchain!
- Die erste Malware, genannt JADESNOW, wird direkt aus der Blockchain gezogen und aktiviert das eigentliche Schadprogramm: InvisibleFerret.
- InvisibleFerret spioniert im Hintergrund sämtliche Aktivitäten auf dem Rechner aus. Browser werden durchsucht, Passwörter, Logins, E-Mail-Adressen und sogar hinterlegte Kreditkartendaten alarmierend effektiv extrahiert.
- Mit besonderem Fokus auf Krypto-Wallets wie MetaMask oder Phantom sucht der Virus systematisch nach privaten Schlüsseln – der goldene Schlüsselbund zu allen Kryptos des Opfers.
Sobald genug Beute gemacht ist, wandern die gesammelten Daten als ZIP-Archiv diskret ins digitale Nirwana. Der Datenabfluss landet über Telegram – per Bot oder privatem Kanal – oder auf einem entfernten Server. Am Ende bedienen sich die Hacker an den Krypto-Schätzen und lassen das Opfer mit leeren Taschen zurück. Ziel erreicht.
Hard Facts: Hintermänner, Dimensionen und Bedrohung
Die Drahtzieher? Ein erfahrener Hackerclan namens UNC5342, von Pjöngjang persönlich angeheuert, macht mit dieser Methode Jagd auf digitale Vermögen. Das Kollektiv ist auf Krypto-Diebstahl spezialisiert und schreckt vor wenig zurück. Die Zahlen sind mehr als beängstigend:
- Laut Google ist diese EtherHiding-Taktik aktuell Teil einer gezielten Diebstahlkampagne.
- Robert Wallace vom Google-Team bezeichnet die Entdeckung als neue Eskalation im Bedrohungsumfeld. Staaten greifen heute zu raffinierten Methoden, deren Malware selbst für Ermittlungsbehörden kaum zu stoppen ist und die sich flexibel anpassen lässt.
- 2025 ist beileibe kein ruhiges Jahr: Bisher haben nordkoreanische Cyberkriminelle schon digitale Vermögenswerte im Wert von 2 Milliarden US-Dollar erbeutet.
- Die berüchtigten Lazarus-Hacker stecken hinter dem größten Krypto-Hack aller Zeiten – sie knackten im Februar die Exchange Bybit.
- Diese 11 Gemüsesorten wachsen jedes Jahr wie von selbst nach
Diese 11 Gemüsesorten wachsen jedes Jahr wie von selbst nach
- Wegen dieses Tricks werden Sie alte Schwämme nie wieder wegwerfen
Wegen dieses Tricks werden Sie alte Schwämme nie wieder wegwerfen
Fazit: Wenn die Blockchain zur Waffe wird
Während die Blockchain in puncto Dezentralisierung große Versprechen macht, liefert sie Hackern aus Nordkorea jetzt auch einen Heimvorteil. Die Methode EtherHiding verschafft ihnen einen nahezu unantastbaren Stützpunkt für Malware. Was lernen wir also? In der Krypto-Welt ist nicht alles Gold, was glänzt – und auch digitale Festungen haben Schwachstellen. Wer im Krypto-Karussell mitfährt, sollte nicht nur auf Kurse, sondern unbedingt auch auf die eigene Cybersicherheit achten. Vertrauen ist gut, doppelte Vorsicht ist besser. Und nein: Pech im Spiel schützt nicht vor Pech mit Hackern!