新興區塊鏈 C2 威脅浮現，「EtherHide」成駭客新寵

隨著 Web3 與智能合約技術的普及，攻擊者開始將區塊鏈平台作為命令與控制（C2）通道，突破傳統封鎖手段。2025 年 11 月 27 日，TWCERT/CC 發布報告指出，「EtherHide」已成為駭客利用區塊鏈隱匿 C2 的新寵。

EtherHide 的工作原理

EtherHide 透過將惡意指令或酬載地址寫入智能合約，並利用區塊鏈的去中心化、不可篡改與匿名性，構建一條難以追蹤的 C2 通道。惡意程式在感染階段會查詢區塊鏈，取得最新指令，隨時更新攻擊策略。

ClearFake 與 EtherHide 的結合

ClearFake 是一種社交工程攻擊，先以偽裝更新誘使用戶點擊，然後將惡意 JavaScript 送往 BSC（Binance Smart Chain）智能鏈。這段腳本會連線至 EtherHide 所寫入的智能合約，從區塊鏈上取得後續酬載位置，完成攻擊鏈。

典型攻擊流程

• 入侵存在漏洞的 WordPress 網站，取得管理權。
• 在網站頁面植入惡意 JavaScript。
• 使用者瀏覽時，腳本彈出偽冒更新訊息（ClearFake）。
• 使用者點擊後，腳本連線至 BSC 上的智能合約。
• 從區塊鏈取得酬載地址並下載執行。
• 完成後續惡意行為。

為何區塊鏈能成為 C2 的理想平台

區塊鏈的分散式結構使得單一封鎖點極難設立；所有交易均被廣泛驗證，難以被單一防火牆攔截；此外，智能合約地址往往不易被追蹤，且合約內容不可變更，提升了惡意指令的穩定性與隱蔽性。

防禦建議

• 加強網站安全：定期掃描 WordPress 核心、主題與插件漏洞，並使用 WAF 或安全插件阻擋惡意請求。
• 監控網站前端腳本：使用 CSP（內容安全政策）限制 JavaScript 執行來源，避免未知域名載入腳本。
• 偵測區塊鏈請求：在網路層面加入區塊鏈節點標示，對異常 BSC 或 Ethereum 請求進行封鎖或警報。
• 多層防護：結合 IDS/IPS、SIEM 與威脅情報，及時偵測與遏制區塊鏈 C2 行為。

業界回應與趨勢

TWCERT/CC 近期報告稱，區塊鏈 C2 已成為新興攻擊向量，且多數案例與勒索軟體、網路釣魚等行為結合，形成多階段滲透。業界正評估在應用層與網路層同時加強監控，以降低區塊鏈 C2 的風險。

MITRE ATT&CK 對應

• T1071.001 – 內部網路通訊（Application Layer Protocol）
• T1105 – 反向代理（Ingress Tool Transfer）
• T1204 – 社交工程（User Execution）
• T1086 – PowerShell（若惡意腳本使用 PowerShell）

結論

區塊鏈 C2 的出現，顯示攻擊者不斷突破傳統防護，採用新興技術提升隱蔽性。對企業而言，必須從網站安全、前端腳本審核、網路監控三個層面同步加強，以對抗 EtherHide 等新興威脅。

參考資料與原文來源

• TWCERT/CC 報告「新興區塊鏈 C2 威脅浮現，『EtherHide』成駭客新寵」 (2025‑11‑27)
• Open Web Application Security Project (OWASP) 2025 年 Web 應用安全十大威脅 (2025‑12‑11)
• TWCERT-電子報-資安趨勢 (2025‑12‑11)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。