Des chercheurs en sécurité avertissent qu'une nouvelle attaque utilise discrètement des smart contracts Ethereum comme canal de commande et de contrôle (C2), cachant des malware dans des paquets npm JavaScript apparemment inoffensifs, ciblant spécifiquement les ordinateurs des développeurs. Cette méthode non seulement augmente la difficulté de traçage et de suppression, mais tire également parti de l'immuabilité et de la transparence de la Blockchain, rendant plus difficile pour les défenseurs de bloquer.
Comment les paquets npm malveillants exploitent Ethereum pour transmettre des instructions d'attaque
ReversingLabs a découvert que deux packages npm nommés colortoolsv2 et mimelib2 lisent des smart contracts spécifiques sur Ethereum pour obtenir l'URL d'un téléchargeur malveillant à deux étapes, au lieu de coder en dur l'infrastructure dans les packages.
Ce design réduit la probabilité de détection statique et laisse moins d'indices lors de la révision du code. Bien que le nombre de téléchargements de ces deux pièges soit extrêmement faible (respectivement 7 et 1), leurs méthodes d'attaque représentent une menace majeure pour la sécurité de la chaîne d'approvisionnement.
GitHub déguisement et ingénierie sociale pour guider l'installation
Une enquête révèle que la promotion de ces logiciels malveillants provient d'un réseau de dépôts GitHub déguisés en robots de trading, tels que solana-trading-bot-v2.
Des attaquants incitent les développeurs à installer des dépendances malveillantes à leur insu en utilisant de faux signaux, des historiques de soumission exagérés et des comptes de mainteneurs fantômes.
Cette méthode est identique à l'attaque de capture de domaine npm à la fin de 2024, lorsque des centaines de paquets interrogeaient des contrats Ethereum lors de la phase d'installation, obtenant l'URL de base, puis téléchargeant des exécutables malveillants pour Windows, Linux et macOS.
Détails techniques du canal de commande sur la Blockchain
La société de sécurité Checkmarx et Phylum ont découvert que l'adresse du contrat principal utilisée par les attaquants est 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, et qu'ils ont obtenu la dernière adresse du serveur C2 en appelant getString(address) via ethers.js.
Ces nœuds C2 incluent 45.125.67.172:1337 et 193.233.201.21:3001, qui changeront au fil du temps pour éviter le blocage.
Étant donné que les données des smart contracts ne peuvent pas être modifiées, ce type de stockage sur la Blockchain est plus difficile à retirer que les Gist GitHub traditionnels ou le stockage en nuage.
Conseils de défense : Bloquer les scripts de cycle de vie et les requêtes réseau
Les experts recommandent aux équipes de développement d'activer le paramètre --ignore-scripts lors de l'installation avec npm et dans le processus CI, afin d'empêcher l'exécution automatique de scripts de cycle de vie malveillants, et de verrouiller les versions des paquets via des fichiers de verrouillage.
En même temps, il convient de bloquer les adresses IP malveillantes connues et les adresses de contrats dans le pare-feu ou le proxy de sécurité, et de surveiller les appels suspects à getString(address) dans les journaux de construction.
Le guide de sécurité officiel de Node.js recommande également de soumettre l'identité des mainteneurs et les métadonnées des packages à un examen plus strict afin de réduire le risque d'attaques de la chaîne d'approvisionnement.
Conclusion
Bien que l'impact de cet événement sur le nombre de téléchargements soit faible, il révèle un mode d'attaque plus insidieux et difficile à défendre : l'utilisation de la Blockchain comme canal de commande persistant, combinée à l'ingénierie sociale et à la pénétration de la chaîne d'approvisionnement open source, constituant une menace à long terme pour les développeurs et les entreprises. À l'avenir, la combinaison de malware en chaîne et d'attaques de chaîne d'approvisionnement traditionnelles pourrait devenir la nouvelle norme dans le domaine de la cybersécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Des pièges cachés dans les smart contracts Ethereum ! Le paquet npm a été infecté par un logiciel malveillant ciblant les développeurs.
Des chercheurs en sécurité avertissent qu'une nouvelle attaque utilise discrètement des smart contracts Ethereum comme canal de commande et de contrôle (C2), cachant des malware dans des paquets npm JavaScript apparemment inoffensifs, ciblant spécifiquement les ordinateurs des développeurs. Cette méthode non seulement augmente la difficulté de traçage et de suppression, mais tire également parti de l'immuabilité et de la transparence de la Blockchain, rendant plus difficile pour les défenseurs de bloquer.
Comment les paquets npm malveillants exploitent Ethereum pour transmettre des instructions d'attaque
ReversingLabs a découvert que deux packages npm nommés colortoolsv2 et mimelib2 lisent des smart contracts spécifiques sur Ethereum pour obtenir l'URL d'un téléchargeur malveillant à deux étapes, au lieu de coder en dur l'infrastructure dans les packages.
Ce design réduit la probabilité de détection statique et laisse moins d'indices lors de la révision du code. Bien que le nombre de téléchargements de ces deux pièges soit extrêmement faible (respectivement 7 et 1), leurs méthodes d'attaque représentent une menace majeure pour la sécurité de la chaîne d'approvisionnement.
GitHub déguisement et ingénierie sociale pour guider l'installation
Une enquête révèle que la promotion de ces logiciels malveillants provient d'un réseau de dépôts GitHub déguisés en robots de trading, tels que solana-trading-bot-v2.
Des attaquants incitent les développeurs à installer des dépendances malveillantes à leur insu en utilisant de faux signaux, des historiques de soumission exagérés et des comptes de mainteneurs fantômes.
Cette méthode est identique à l'attaque de capture de domaine npm à la fin de 2024, lorsque des centaines de paquets interrogeaient des contrats Ethereum lors de la phase d'installation, obtenant l'URL de base, puis téléchargeant des exécutables malveillants pour Windows, Linux et macOS.
Détails techniques du canal de commande sur la Blockchain
La société de sécurité Checkmarx et Phylum ont découvert que l'adresse du contrat principal utilisée par les attaquants est 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, et qu'ils ont obtenu la dernière adresse du serveur C2 en appelant getString(address) via ethers.js.
Ces nœuds C2 incluent 45.125.67.172:1337 et 193.233.201.21:3001, qui changeront au fil du temps pour éviter le blocage.
Étant donné que les données des smart contracts ne peuvent pas être modifiées, ce type de stockage sur la Blockchain est plus difficile à retirer que les Gist GitHub traditionnels ou le stockage en nuage.
Conseils de défense : Bloquer les scripts de cycle de vie et les requêtes réseau
Les experts recommandent aux équipes de développement d'activer le paramètre --ignore-scripts lors de l'installation avec npm et dans le processus CI, afin d'empêcher l'exécution automatique de scripts de cycle de vie malveillants, et de verrouiller les versions des paquets via des fichiers de verrouillage.
En même temps, il convient de bloquer les adresses IP malveillantes connues et les adresses de contrats dans le pare-feu ou le proxy de sécurité, et de surveiller les appels suspects à getString(address) dans les journaux de construction.
Le guide de sécurité officiel de Node.js recommande également de soumettre l'identité des mainteneurs et les métadonnées des packages à un examen plus strict afin de réduire le risque d'attaques de la chaîne d'approvisionnement.
Conclusion
Bien que l'impact de cet événement sur le nombre de téléchargements soit faible, il révèle un mode d'attaque plus insidieux et difficile à défendre : l'utilisation de la Blockchain comme canal de commande persistant, combinée à l'ingénierie sociale et à la pénétration de la chaîne d'approvisionnement open source, constituant une menace à long terme pour les développeurs et les entreprises. À l'avenir, la combinaison de malware en chaîne et d'attaques de chaîne d'approvisionnement traditionnelles pourrait devenir la nouvelle norme dans le domaine de la cybersécurité.