Gli hacker hanno iniziato a nascondere il software dannoso nei contratti intelligenti #Ethereum , utilizzando la blockchain come copertura per gli attacchi informatici. I ricercatori dell'azienda ReversingLabs hanno scoperto due pacchetti nel repository Node Package Manager (NPM) che applicavano un nuovo metodo di consegna di comandi e link dannosi.
Blockchain come rifugio per codice dannoso
I pacchetti 'colortoolsv2' e 'mimelib2', pubblicati a luglio di quest'anno, utilizzavano contratti smart di Ethereum per nascondere comandi dannosi, che installavano programmi loader su sistemi compromessi. La ricercatrice di ReversingLabs Lucija Valentić ha spiegato che i criminali informatici hanno applicato una 'tecnica innovativa e creativa per caricare malware su dispositivi compromessi - contratti smart della blockchain di Ethereum'.
Per evitare la scansione di sicurezza, i pacchetti funzionavano come semplici loader. Invece di ospitare direttamente link dannosi, estraevano indirizzi dei server di comando dai contratti smart. Durante l'installazione, i pacchetti accedevano alla blockchain per ottenere URL di download di malware di seconda fase, rendendo la rilevazione più difficile, poiché il traffico della blockchain sembra legittimo.
Nuovo vettore d'attacco
Il malware mirato ai contratti smart di Ethereum non è una novità: è stato utilizzato all'inizio di quest'anno dal gruppo di hacker Lazarus, legato alla Corea del Nord. Tuttavia, l'uso dei contratti smart di Ethereum per ospitare URL con comandi dannosi rappresenta un approccio fondamentalmente nuovo.
«Questo è qualcosa che non abbiamo mai visto prima e mette in evidenza la rapida evoluzione delle strategie di elusione dei soggetti malevoli che attaccano i repository open source e gli sviluppatori», ha osservato Valentić.
Complessa campagna di inganno
I pacchetti dannosi sono diventati parte di una vasta campagna di ingegneria sociale e inganno, condotta principalmente tramite GitHub. I criminali informatici hanno creato falsi repository di bot di trading per criptovalute, che apparivano estremamente affidabili grazie a:
Fabbricazione di commit per imitare lo sviluppo attivo
Creazione di falsi account utenti specificamente per il monitoraggio dei repository
Account multipli dei collaboratori per simulare il lavoro di squadra
Descrizioni dei progetti e documentazione dall'aspetto professionale
Evoluzione delle minacce
Nel 2024, i ricercatori di sicurezza hanno documentato 23 campagne dannose legate alle criptovalute nei repository open source. Questo nuovo vettore d'attacco dimostra l'evoluzione degli attacchi ai repository, combinando la tecnologia blockchain con ingegneria sociale sofisticata per eludere i metodi tradizionali di rilevamento.
Attacchi simili vengono effettuati non solo su Ethereum. Ad aprile, un falso repository GitHub, che si spacciava per un bot di trading Solana, è stato utilizzato per diffondere malware nascosto che rubava dati dai portafogli di criptovalute.
L'uso della blockchain come strumento per nascondere codice dannoso rappresenta un passo significativo nello sviluppo delle minacce informatiche. Questo metodo dimostra come i criminali informatici si adattino alle tecnologie moderne, trasformando i sistemi decentralizzati a loro favore.
