Los hackers han comenzado a ocultar software malicioso en contratos inteligentes #Ethereum , utilizando blockchain como cobertura para ciberataques. Investigadores de la empresa ReversingLabs descubrieron dos paquetes en el repositorio de Node Package Manager (NPM) que aplicaban un nuevo método de entrega de comandos y enlaces maliciosos.
Blockchain como refugio para código malicioso
Los paquetes «colortoolsv2» y «mimelib2», publicados en julio de este año, utilizaron contratos inteligentes de Ethereum para ocultar comandos maliciosos que instalaban programas cargadores en sistemas comprometidos. La investigadora de ReversingLabs, Lucija Valentić, explicó que los delincuentes aplicaron «una técnica innovadora y creativa para cargar malware en dispositivos comprometidos: contratos inteligentes de la blockchain de Ethereum».
Para evitar el escaneo de seguridad, los paquetes funcionaban como simples cargadores. En lugar de alojar enlaces maliciosos directamente, extraían direcciones de servidores de comando de contratos inteligentes. Al instalarse, los paquetes consultaban la blockchain para obtener las URL de descarga de malware de segunda etapa, lo que dificultaba la detección, ya que el tráfico de blockchain parece legítimo.
Nuevo vector de ataque
El malware dirigido a contratos inteligentes de Ethereum no es una novedad; fue utilizado a principios de este año por el grupo de hackers Lazarus Group, vinculado a Corea del Norte. Sin embargo, el uso de contratos inteligentes de Ethereum para alojar direcciones URL con comandos maliciosos representa un enfoque completamente nuevo.
«Esto es algo que no habíamos visto antes, y subraya la rápida evolución de las estrategias de elusión de detección por parte de actores maliciosos que atacan repositorios de código abierto y desarrolladores», comentó Valentić.
Compleja campaña de engaño
Los paquetes maliciosos se convirtieron en parte de una amplia campaña de ingeniería social y engaño, llevada a cabo principalmente a través de GitHub. Los delincuentes crearon repositorios falsos de bots comerciales para criptomonedas que parecían extremadamente confiables gracias a:
Fabricación de commits para simular desarrollo activo
Creación de cuentas de usuario falsas específicamente para rastrear repositorios
Múltiples cuentas de acompañantes para simular trabajo en equipo
Descripciones de proyectos y documentación que parecen profesionales
Evolución de las amenazas
En 2024, los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto. Este nuevo vector de ataque demuestra la evolución de los ataques a repositorios, combinando la tecnología blockchain con ingeniería social sofisticada para eludir los métodos tradicionales de detección.
Ataques similares no solo se llevan a cabo en Ethereum. En abril, un repositorio falso de GitHub que se hacía pasar por un bot comercial de Solana fue utilizado para distribuir malware oculto que robaba datos de billeteras criptográficas.
El uso de blockchain como herramienta para ocultar código malicioso representa un avance significativo en el desarrollo de las ciberamenazas. Este método muestra cómo los delincuentes se adaptan a las tecnologías modernas, convirtiendo sistemas descentralizados en su ventaja.
