Selon des rapports récents, des cyberdélinquants ont développé une méthode sophistiquée pour distribuer des logiciels malveillants via des contrats intelligents d'Ethereum, contournant les analyses de sécurité traditionnelles. Cette évolution des cyberattaques a été identifiée par des chercheurs en cybersécurité de ReversingLabs, qui ont découvert un nouveau malware open source dans le référentiel Node Package Manager (NPM), une vaste collection de paquets et de bibliothèques JavaScript.

Le chercheur de ReversingLabs, Lucija Valentić, a souligné dans une publication récente que les paquets de malware, appelés "colortoolsv2" et "mimelib2", utilisent des contrats intelligents d'Ethereum pour dissimuler des commandes malveillantes. Ces paquets, publiés en juillet, fonctionnent comme des téléchargeurs qui obtiennent des adresses de serveurs de commande et de contrôle depuis des contrats intelligents au lieu d'héberger directement des liens malveillants. Cette approche complique les efforts de détection, car le trafic de la chaîne de blocs semble légitime, permettant au malware d'installer des logiciels de téléchargement sur des systèmes compromis.

L'utilisation des smart contracts Ethereum pour héberger des URLs où se trouvent les commandes malveillantes représente une technique novatrice dans la mise en œuvre de malware. Valentić a souligné que cette méthode marque un changement significatif dans les stratégies d'évasion de détection, car les acteurs malveillants exploitent de plus en plus les dépôts de code source ouvert et les développeurs. Cette tactique a été précédemment utilisée par le groupe Lazarus, affilié à la Corée du Nord, au début de cette année, mais l'approche actuelle démontre une évolution rapide des vecteurs d'attaque.

Les paquets de malware font partie d'une campagne de tromperie plus large qui opère principalement via GitHub. Les cybercriminels ont créé de faux dépôts de bots de trading de cryptomonnaies, les présentant comme crédibles grâce à des commits fabriqués, des comptes d'utilisateur faux, plusieurs comptes de mainteneurs et des descriptions et documents de projet ayant l'apparence professionnelle. Cette stratégie élaborée d'ingénierie sociale vise à contourner les méthodes de détection traditionnelles en combinant la technologie blockchain avec des pratiques trompeuses.

En 2024, les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies dans des dépôts de code ouvert. Cependant, ce dernier vecteur d'attaque souligne l'évolution continue des attaques sur les dépôts. Au-delà d'Ethereum, des tactiques similaires ont été utilisées sur d'autres plateformes, comme un faux dépôt GitHub se faisant passer pour un bot de trading de Solana, qui distribuait malware pour voler des informations d'identification de portefeuilles de cryptomonnaies. De plus, les hackers ont attaqué "Bitcoinlib", une bibliothèque Python open source conçue pour faciliter le développement de Bitcoin, ce qui illustre encore davantage la nature diverse et adaptative de ces menaces cybernétiques.