Les logiciels malveillants exploitent les contrats intelligents d'Ethereum pour échapper à la détection

Nouvelle menace pour la sécurité de la blockchain

Les cybercriminels ont développé une méthode sophistiquée pour distribuer des logiciels malveillants via des contrats intelligents Ethereum, contournant les analyses de sécurité traditionnelles. Cette évolution des cyberattaques a été identifiée par des chercheurs en cybersécurité de ReversingLabs, qui ont découvert un nouveau malware open source dans le dépôt Node Package Manager (NPM), une vaste collection de paquets et de bibliothèques JavaScript.

Mécanisme Technique de l'Attaque

La chercheuse de ReversingLabs, Lucija Valentić, a souligné dans une publication récente que les paquets malveillants, appelés "colortoolsv2" et "mimelib2", utilisent des contrats intelligents d'Ethereum pour dissimuler des commandes malveillantes. Ces paquets, publiés en juillet, fonctionnent comme des téléchargeurs qui récupèrent des adresses de serveurs de commande et de contrôle à partir de contrats intelligents au lieu d'héberger directement des liens malveillants.

Cette technique complique considérablement les efforts de détection, car le trafic blockchain apparaît légitime, permettant au malware d'installer un logiciel de téléchargement sur des systèmes compromis sans alerter les systèmes de sécurité traditionnels.

Évolution des Stratégies d'Évasion

L'utilisation de contrats intelligents Ethereum pour héberger des URL où se trouvent les commandes malveillantes représente une technique novatrice dans le déploiement de logiciels malveillants. Valentić a souligné que cette méthode marque un changement significatif dans les stratégies d'évasion de détection, car les acteurs malveillants exploitent de plus en plus les dépôts de code open source et les développeurs.

Cette tactique a été employée auparavant par le groupe Lazarus, lié à la Corée du Nord, au début de cette année. Cependant, l'approche actuelle démontre une évolution rapide des vecteurs d'attaque, incorporant la technologie blockchain pour augmenter son efficacité.

Campagne d'Ingénierie Sociale Élaboree

Les paquets malveillants font partie d'une campagne de tromperie plus large qui opère principalement via GitHub. Les attaquants ont créé de faux dépôts de bots de trading de cryptomonnaies, les présentant comme crédibles en :

• Commits fabriqués
• Comptes utilisateurs faux
• Comptes multiples de mainteneurs
• Descriptions de projets et documentation d'aspect professionnel

Cette stratégie élaborée d'ingénierie sociale cherche à contourner les méthodes de détection traditionnelles en combinant la technologie blockchain avec des pratiques trompeuses, créant une apparence de légitimité qui complique son identification.

Panorama des menaces en expansion

En 2024, les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies dans des dépôts de code source ouvert. Cependant, ce dernier vecteur d'attaque souligne l'évolution continue des attaques contre les dépôts.

Au-delà d'Ethereum, des tactiques similaires ont été employées sur d'autres plateformes, comme un faux dépôt GitHub qui se faisait passer pour un bot de trading de Solana, distribuant des logiciels malveillants pour voler des identifiants de portefeuilles de cryptomonnaies. De plus, les hackers ont attaqué "Bitcoinlib", une bibliothèque Python open source conçue pour faciliter le développement de Bitcoin, ce qui illustre encore plus la nature diversifiée et adaptative de ces cybermenaces.

Mesures de Protection Recommandées

Pour se protéger contre ce type de menaces, les utilisateurs de cryptomonnaies doivent mettre en œuvre plusieurs couches de sécurité :

• Utiliser des portefeuilles matériels pour un stockage sécurisé
• Activer l'authentification à deux facteurs sur toutes les plateformes
• Maintenir à jour le logiciel de sécurité et les dispositifs
• Vérifiez minutieusement l'authenticité des dépôts de code avant de les utiliser
• Mettre en œuvre des solutions de surveillance continue pour détecter des activités suspectes

L'évolution de ces menaces démontre l'importance de maintenir des pratiques de sécurité robustes et à jour dans l'écosystème blockchain, en particulier pour les développeurs et les utilisateurs qui interagissent avec des contrats intelligents et des dépôts de code source.