La Situazione In Una Frase
Da febbraio 2025, criminali e Stati usano la blockchain come nascondino permanente per malware.
Una volta che il malware entra in comunicazione con la blockchain, la minaccia persiste indipendentemente da cosa fate al vostro PC.
È già successo a migliaia di siti e computer. Potrebbe succedere a noi domani.
Cos’è La Blockchain (Davvero Semplice)
Immaginate un registro gigante scritto su migliaia di computer contemporaneamente. Una volta che qualcosa è scritto, nessuno può cancellarlo, modificarlo, o dire che non c’è stato. Rimane per sempre.
È come un tatuaggio su Internet: permanente, impossibile da rimuovere, consultabile da chiunque.
La blockchain è nata per le criptovalute, ma adesso i criminali la stanno usando per un motivo molto più sinistro: nasconderci il malware.
Il Trucco: Come Funziona (Il Punto Vero)
Tradizionalmente, il malware vive sul vostro PC e riceve comandi da un server remoto (C2 – Command & Control). Quando lo scopriamo, lo rimuoviamo dal PC e disativiamo il server. Fine della storia.
Con EtherHiding, il C2 non è un server. È la blockchain. Il file che scaricate è uno stub – un piccolo programma che rimane attivo sul vostro PC. Questo stub continua a leggere la blockchain, dove il criminale ha archiviato permanentemente il codice malevolo.
Ogni volta che legge, carica e esegue il malware vero.
Quindi: potete rimuovere lo stub dal PC, ma il codice malevolo rimane permanentemente sulla blockchain e i criminali continueranno ad aggiornarlo e usarlo indefinitamente,
Perché Dovrebbe Importarvi (Il Business Risk)
Se il malware entra nel vostro computer o nella vostra azienda, ruba tute le password, accede ai vostri account bancari e finanziari, prende i vostri dati sensibili, e potrebbe bloccare i vostri sistemi
chiedendo soldi per sbloccarlo. Il malware rimane lì a guardare, anche dopo che credete di averlo tolto.
Costo medio di un’infezione: perdita di dati, furto di soldi, danno reputazionale, costi di recovery. Parliamo di centinaia di migliaia di euro facilmente. Il vostro vantaggio è semplice: se sapete come arriva, potete fermarla PRIMA che entri.
Come Arriva Nel Vostro Pc (Lo Scenario Reale)
Lunedì pomeriggio ricevete un messaggio LinkedIn da un recruiter che non conosci. Offerta interessante, azienda nota, stipendio competitivo. Sembra legittimo. Martedì vi spostate su Telegram. “Più veloce”, dice il recruiter.
Mercoledì: “Ok, primo step: scarica il nostro test tecnico. È standard per tutti i candidati”. Giovedì mattina scaricate il file. Lo aprite. Non succede niente di visibile.
Venerdì mattina il vostro computer inizia a comportarsi in modo bizzarro. È lento, fa cose da solo. Avvisate IT.
Lunedì successivo IT dice “È pulito”. Ma il problema continua.
Chi Sta Facendo Questo (Adesso)
UNC5342 è attribuito a Nordcorea/Lazarus e attacca aziende cripto, fintech, e developer. L’obiettivo è rubare soldi per finanziare il regime. UNC5142 sono criminali internazionali che attaccano siti WordPress compromessi per rubare dati e credenziali su scala massiccia.
Google Threat Intelligence Group e Mandiant hanno confermato che UNC5342 (Nordcorea) ha utilizzato EtherHiding dal febbraio 2025. UNC5142 ha utilizzato la stessa tecnica fino a luglio 2025. Al momento della scoperta (mid-2025), circa 14.000 siti WordPress erano stati identificati come compromessi da questa campagna.
Come Proteggersi (In Pratica)
Quando ricevete un’offerta di lavoro su LinkedIn, verificate direttamente: andate sul sito ufficiale dell’azienda, cercate il numero, chiamate il recruiting. Se non riescono a confermare la persona, è falso. Se qualcosa non torna, è falso.
Quando vi viene chiesto di scaricare un file, se viene da uno sconosciuto dite di no. Se viene da uno che conoscete male, chiedete conferma su un canale ufficiale: Slack interno, email verificata, telefonata. Se vi viene una sensazione strana, ascoltate il vostro istinto.
Se il vostro computer fa cose strane, avvisate IT immediatamente. Non ignorate i segnali. Descrivete quello che vedete. Per i developer e il team tech, è importante usare doppia
autenticazione su LinkedIn, GitHub, e email. Non inserite mai password o chiavi di accesso nei file scaricati da sconosciuti. Se ricevete “test tecnici” per selezioni, eseguiteli SOLO in ambienti di prova isolati.
Per management, è importante assicurarsi che il team IT abbia gli strumenti per monitorare connessioni anomale alla blockchain, che il team riceva training su “fake recruiter” (soprattutto chi riceve offerte di lavoro), e che si budget per threat intelligence: sapere “cosa è in circolazione adesso” costa poco e evita danni grandi.
Cosa NON Fare (Gli Errori Comuni)
Non sottovalutate offerte che sembrano normali solo perché non hanno bandiere rosse evidenti – spesso i dettagli che non tornano sono proprio quello che rende credibile l’inganno.
Non aprite file da persone che non conoscete, anche se sembrano professionali o “standard”.
Non credete che questa minaccia riguardi solo developer: chiunque abbia accesso a un computer in azienda è un target potenziale.
Non date per scontato che una pulizia IT standard sia sufficiente – il malware potrebbe ripresentarsi se non siete certi che sia stato rimosso completamente, soprattutto se è EtherHiding.
Riassunto In 30 Secondi
EtherHiding utilizza uno stub (un piccolo file attivo – vedi sopra e legenda) che rimane sul vostro PC e continua a leggere dalla blockchain, dove il codice malevolo è permanentemente archiviato e aggiornato dai criminali.
Arriva tramite fake recruiter e file scaricato.
Il computer rimane compromesso e continua a comunicare con gli attaccanti. Ruba password, dati, soldi, e rimane attivo anche dopo che credete di averlo tolto.
Cosa fare: verificate le offerte di lavoro prima di scaricare qualsiasi cosa. Non scaricate file da sconosciuti. Se il computer fa cose strane, avvertite IT subito. È grave? Sì. Migliaia di siti sono stati colpiti dal febbraio 2025. Ma soprattutto sta accadendo proprio adesso.