Hakerzy zaczęli ukrywać złośliwe oprogramowanie w smart kontraktach #Ethereum , wykorzystując blockchain jako przykrywkę dla cyberataków. Badacze firmy ReversingLabs odkryli dwa pakiety w repozytorium Node Package Manager (NPM), które zastosowały nową metodę dostarczania złośliwych poleceń i linków.
Blockchain jako schronienie dla złośliwego kodu
Pakiety „colortoolsv2” i „mimelib2”, opublikowane w lipcu tego roku, wykorzystywały smart kontrakty Ethereum do ukrywania złośliwych komend, które instalowały programy-ładunki na skompromitowanych systemach. Badacz ReversingLabs Lucija Valentić wyjaśniła, że przestępcy zastosowali „nowatorską i kreatywną technikę ładowania złośliwego oprogramowania na skompromitowane urządzenia - smart kontrakty blockchaina Ethereum”.
Aby uniknąć skanowania bezpieczeństwa, pakiety funkcjonowały jako proste ładowniki. Zamiast bezpośredniego umieszczania złośliwych linków, wydobywały adresy serwerów dowodzenia z smart kontraktów. Przy instalacji pakiety odwoływały się do blockchaina w celu uzyskania adresów URL do pobrania złośliwego oprogramowania drugiej fazy, co utrudniało wykrycie, ponieważ ruch w blockchainie wyglądał legitnie.
Nowy wektor ataków
Złośliwe oprogramowanie skierowane na smart kontrakty Ethereum nie jest nowością - używała go na początku tego roku grupa hakerska Lazarus Group, związana z Koreą Północną. Jednak zastosowanie smart kontraktów Ethereum do zamieszczania adresów URL z złośliwymi komendami stanowi zasadniczo nowe podejście.
„To coś, czego wcześniej nie widzieliśmy, i podkreśla to szybką ewolucję strategii obejścia wykrywania przez złośliwe podmioty, które atakują repozytoria z otwartym kodem źródłowym i deweloperów” - zauważyła Valentić.
Złożona kampania oszustwa
Złośliwe pakiety stały się częścią rozległej kampanii inżynierii społecznej i oszustwa, prowadzonej głównie przez GitHub. Przestępcy stworzyli fałszywe repozytoria botów handlowych dla kryptowalut, które wyglądały niezwykle wiarygodnie dzięki:
Fałszowanie commitów w celu imitacji aktywnego rozwoju
Tworzenie fałszywych kont użytkowników specjalnie do śledzenia repozytoriów
Wielokrotne konta towarzyszące do symulacji pracy zespołowej
Profesjonalnie wyglądające opisy projektów i dokumentacji
Ewolucja zagrożeń
W 2024 roku badacze bezpieczeństwa udokumentowali 23 związane z kryptowalutami złośliwe kampanie w repozytoriach z otwartym kodem źródłowym. Ten najnowszy wektor ataków demonstruje ewolucję ataków na repozytoria, łącząc technologię blockchain z wyrafinowanym inżynierią społeczną w celu obejścia tradycyjnych metod wykrywania.
Podobne ataki przeprowadzane są nie tylko na Ethereum. W kwietniu fałszywe repozytorium GitHub, udające bota handlowego Solana, było używane do rozprzestrzeniania ukrytego złośliwego oprogramowania, kradnącego dane portfeli kryptowalutowych.
Wykorzystanie blockchaina jako narzędzia do ukrywania złośliwego kodu stanowi znaczący krok w rozwoju zagrożeń cybernetycznych. Ta metoda pokazuje, jak przestępcy dostosowują się do nowoczesnych technologii, przekształcając zdecentralizowane systemy na swoją korzyść.
