La blockchain est censée être immuable, transparente et décentralisée. Ce caractère transparent ne doit toutefois pas faire croire à une sécurité absolue. Un rapport récent de Google a mis en lumière la présence de codes malicieux dissimulés sur la blockchain.
Un nouveau type de menace qui vise l’industrie crypto et qui annonce déjà ce à quoi pourrait ressembler l’avenir de la sécurité cryptographique.
EtherHiding, un nouveau type de menace Web3
La technique EtherHiding n’est pas tout à fait nouvelle. Cette pratique consiste à utiliser la blockchain pour distribuer des données. Plus spécifiquement, elle permet de déployer du code malicieux dans des contrats intelligents.
C’était déjà le cas en juillet avec du malware caché sur Ethereum grâce à des contrats intelligents détournés. La trouvaille récente par Mandiant démontre que la pratique s’est étendue à d’autres blockchains, notamment à BNB Smart Chain.
Ce qui rend EtherHiding catastrophique, c’est qu’il permet de stocker toutes les composantes du malware sur la blockchain. Spécifiquement, le protocole d’infection, la charge utile et le centre de commande et de contrôle.
En procédant ainsi, les outils de détection habituels n’identifient pas la menace. Après tout, tous les appels et exécutions du code sont restreints à la blockchain et ne renvoient à aucune adresse URL externe. Et surtout, l’exécution en mode “lecture seule” permet de limiter les traces d’activité sur la blockchain.

“Contagious Interview” : le groupe nord-coréen qui sévit
EtherHiding est une pratique déjà connue, mais relativement nouvelle. De fait, ses applications sont encore mal cernées par les chercheurs en cybersécurité. Les hackeurs nord-coréens semblent toutefois avoir réalisé des avancées considérables en la matière. En particulier, depuis que l’IA permet d’accélérer l’audit et l’exploitation des vulnérabilités on-chain.
En effet, ils introduisent du malware dans les contrats intelligents afin que ces derniers soient lus par les explorateurs de blockchain. Autrement dit, lorsque des utilisateurs se servent d’explorateurs pour analyser des transactions ou des contrats intelligents, ils courent le risque d’exécuter le code malicieux dans leurs navigateurs Internet.
North Korea threat actor UNC5342 is using EtherHiding, the first time we have observed a nation-state use this technique. 🚨
The TTP is being used in a social engineering campaign that leads to cryptocurrency heists and espionage.
Read the blog post: https://t.co/JGnXcAQfoQ pic.twitter.com/qusToZHmK0
— Mandiant (part of Google Cloud) (@Mandiant) October 17, 2025
Tout semble indiquer que c’est la première fois qu’un acteur étatique se sert de la blockchain ainsi. Le groupe de hackeurs dénommé “Contagious Interview”, “ClearFake” ou UNC5342 selon les sources, s’en servirait actuellement pour sévir sur BNB Smart Chain.
D’après les enquêtes des chercheurs en cybersécurité, les hackeurs nord-coréens s’en servent essentiellement pour infecter des victimes dans le cadre de faux entretiens d’embauche.
Des maliciels pérennes au service des pirates
Pour les pirates, dissimuler du code malicieux sur la blockchain présente de nombreux avantages. D’une part, il n’y a pas de serveur central que les autorités peuvent cibler ou saisir. D’autre part, le code peut être mis-à-jour à faible coût par le propriétaire anonyme du contrat intelligent.
En somme, ce type de contrats malicieux sur la blockchain devient un tremplin pour déployer des campagnes de grande envergure.
À première vue, on peut s’imaginer qu’il suffit de bloquer ces contrats pour se prémunir. Mais, ceci démontre également que des contrats intelligents compromis peuvent être détournés de la même manière.
De toute évidence, la situation est un argument en faveur des blockchains plus restrictives qui n’ont vocation qu’à supporter une cryptomonnaie. Ceci reviendrait toutefois à abandonner les avancées en matière de DeFi et de blockchains polyvalentes.
Mais surtout, la question se pose quant au principe d’immutabilité de la blockchain. Ce principe est-il si précieux qu’il n’est pas possible de retirer des maliciels apparents ?
