Según informes recientes, los ciberdelincuentes han desarrollado un método sofisticado para distribuir software malicioso a través de contratos inteligentes en Ethereum, eludiendo los escaneos de seguridad tradicionales. Esta evolución en los ciberataques ha sido identificada por investigadores de ciberseguridad de ReversingLabs, quienes descubrieron nuevo malware de código abierto en el repositorio Node Package Manager (NPM), una extensa colección de paquetes y bibliotecas JavaScript.

La investigadora de ReversingLabs, Lucija Valentić, destacó en una publicación reciente que los paquetes de malware, denominados "colortoolsv2" y "mimelib2", utilizan contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estos paquetes, publicados en julio, funcionan como descargadores que obtienen direcciones de servidores de comando y control desde contratos inteligentes en lugar de alojar directamente enlaces maliciosos. Este enfoque complica los esfuerzos de detección, ya que el tráfico de la cadena de bloques parece legítimo, permitiendo que el malware instale software de descarga en sistemas comprometidos.

El uso de contratos inteligentes de Ethereum para alojar URLs donde se encuentran comandos maliciosos representa una técnica novedosa en la implementación de malware. Valentić señaló que este método marca un cambio significativo en las estrategias de evasión de detección, ya que los actores maliciosos explotan cada vez más los repositorios de código abierto y a los desarrolladores. Esta táctica fue utilizada previamente por el grupo Lazarus, afiliado a Corea del Norte, a principios de este año, pero el enfoque actual demuestra una rápida evolución en los vectores de ataque.

Los paquetes de malware son parte de una campaña de engaño más amplia que opera principalmente a través de GitHub. Los ciberdelincuentes han creado repositorios falsos de bots de trading de criptomonedas, presentándolos como creíbles mediante commits fabricados, cuentas de usuario falsas, múltiples cuentas de mantenedores y descripciones y documentación de proyectos de aspecto profesional. Esta elaborada estrategia de ingeniería social tiene como objetivo eludir los métodos de detección tradicionales combinando tecnología blockchain con prácticas engañosas.

En 2024, los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto. Sin embargo, este último vector de ataque subraya la continua evolución de los ataques a repositorios. Más allá de Ethereum, se han empleado tácticas similares en otras plataformas, como un repositorio falso de GitHub que se hacía pasar por un bot de trading de Solana y que distribuía malware para robar credenciales de billeteras de criptomonedas. Además, los hackers han atacado "Bitcoinlib", una biblioteca de Python de código abierto diseñada para facilitar el desarrollo de Bitcoin, lo que ilustra aún más la naturaleza diversa y adaptativa de estas amenazas cibernéticas.