Tin tặc đã bắt đầu ẩn phần mềm độc hại trong các hợp đồng thông minh #Ethereum , sử dụng blockchain như một lớp bảo vệ cho các cuộc tấn công mạng. Các nhà nghiên cứu của công ty ReversingLabs đã phát hiện hai gói trong kho Node Package Manager (NPM), áp dụng phương pháp mới để chuyển giao các lệnh và liên kết độc hại.
Blockchain như một nơi ẩn náu cho mã độc hại
Các gói «colortoolsv2» và «mimelib2», được phát hành vào tháng Bảy năm nay, đã sử dụng các hợp đồng thông minh Ethereum để che giấu các lệnh độc hại, cài đặt các chương trình tải xuống trên các hệ thống bị xâm nhập. Nhà nghiên cứu ReversingLabs Lucija Valentić giải thích rằng kẻ xấu đã áp dụng «kỹ thuật tải xuống phần mềm độc hại mới mẻ và sáng tạo trên các thiết bị bị xâm nhập - các hợp đồng thông minh blockchain Ethereum».
Để tránh bị quét bảo mật, các gói hoạt động như các trình tải xuống đơn giản. Thay vì đăng tải trực tiếp các liên kết độc hại, chúng trích xuất địa chỉ máy chủ điều khiển từ các hợp đồng thông minh. Khi được cài đặt, các gói đã truy cập vào blockchain để lấy địa chỉ URL tải xuống phần mềm độc hại giai đoạn thứ hai, điều này làm cho việc phát hiện trở nên khó khăn hơn, vì lưu lượng truy cập blockchain trông hợp pháp.
Vector tấn công mới
Phần mềm độc hại nhắm vào các hợp đồng thông minh Ethereum không phải là điều mới mẻ - nó đã được sử dụng bởi nhóm hacker Lazarus Group có liên quan đến Triều Tiên vào đầu năm nay. Tuy nhiên, việc sử dụng các hợp đồng thông minh Ethereum để đăng tải các địa chỉ URL với các lệnh độc hại là một phương pháp hoàn toàn mới.
«Đây là điều mà chúng ta chưa từng thấy trước đây, và điều này nhấn mạnh sự tiến hóa nhanh chóng của các chiến lược vượt qua phát hiện của các thực thể độc hại, những người tấn công vào các kho lưu trữ mã nguồn mở và các nhà phát triển,» - Valentić cho biết.
Chiến dịch lừa đảo phức tạp
Các gói độc hại đã trở thành một phần của chiến dịch kỹ thuật xã hội và lừa đảo quy mô lớn, chủ yếu được thực hiện qua GitHub. Kẻ xấu đã tạo ra các kho lưu trữ giả mạo của các bot giao dịch tiền điện tử, trông rất đáng tin cậy nhờ vào:
Giả mạo cam kết để mô phỏng phát triển tích cực
Tạo ra các tài khoản người dùng giả mạo đặc biệt để theo dõi các kho lưu trữ
Các tài khoản đi kèm nhiều để mô phỏng làm việc nhóm
Mô tả dự án và tài liệu trông chuyên nghiệp
Sự tiến hóa của mối đe dọa
Vào năm 2024, các nhà nghiên cứu an ninh đã tài liệu hóa 23 chiến dịch độc hại liên quan đến tiền điện tử trong các kho lưu trữ mã nguồn mở. Vector tấn công mới nhất này cho thấy sự tiến hóa của các cuộc tấn công vào các kho lưu trữ, kết hợp công nghệ blockchain với kỹ thuật xã hội tinh vi để vượt qua các phương pháp phát hiện truyền thống.
Các cuộc tấn công tương tự không chỉ diễn ra trên Ethereum. Vào tháng Tư, một kho lưu trữ GitHub giả mạo, tự nhận mình là một bot giao dịch Solana, đã được sử dụng để phân phối phần mềm độc hại ẩn mình, đánh cắp dữ liệu ví điện tử.
Việc sử dụng blockchain như một công cụ để che giấu mã độc hại là một bước tiến quan trọng trong sự phát triển của các mối đe dọa mạng. Phương pháp này cho thấy cách mà kẻ xấu thích ứng với công nghệ hiện đại, biến các hệ thống phi tập trung thành lợi thế của mình.
