Selon des rapports récents, les cybercriminels ont développé une méthode sophistiquée pour distribuer des logiciels malveillants via des smart contracts sur Ethereum, contournant les analyses de sécurité traditionnelles. Cette évolution des cyberattaques a été identifiée par des chercheurs en cybersécurité de ReversingLabs, qui ont découvert un nouveau malware open source dans le dépôt Node Package Manager (NPM), une vaste collection de paquets et bibliothèques JavaScript.

La chercheuse de ReversingLabs, Lucija Valentić, a souligné dans une publication récente que les paquets de malware, appelés "colortoolsv2" et "mimelib2", utilisent des contrats intelligents Ethereum pour dissimuler des commandes malveillantes. Ces paquets, publiés en juillet, fonctionnent comme des téléchargeurs qui obtiennent des adresses de serveurs de commande et de contrôle depuis des contrats intelligents au lieu d'héberger directement des liens malveillants. Cette approche complique les efforts de détection, car le trafic de la chaîne de blocs semble légitime, permettant au malware d'installer des logiciels de téléchargement sur des systèmes compromis.

L'utilisation des smart contracts Ethereum pour héberger des URLs où se trouvent des commandes malveillantes représente une technique novatrice dans la mise en œuvre de malware. Valentić a souligné que cette méthode marque un changement significatif dans les stratégies d'évasion de détection, car les acteurs malveillants exploitent de plus en plus les dépôts de code open source et les développeurs. Cette tactique a été utilisée précédemment par le groupe Lazarus, affilié à la Corée du Nord, au début de cette année, mais l'approche actuelle démontre une évolution rapide des vecteurs d'attaque.

Les paquets de malware font partie d'une campagne de tromperie plus large qui opère principalement via GitHub. Les cybercriminels ont créé de faux dépôts de bots de trading de cryptomonnaies, les présentant comme crédibles grâce à des commits fabriqués, de faux comptes d'utilisateur, plusieurs comptes de mainteneurs et des descriptions et documents de projet à l'apparence professionnelle. Cette stratégie d'ingénierie sociale élaborée vise à contourner les méthodes de détection traditionnelles en combinant la technologie blockchain avec des pratiques trompeuses.

En 2024, les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies dans des dépôts de code ouvert. Cependant, ce dernier vecteur d'attaque souligne l'évolution continue des attaques sur les dépôts. Au-delà d'Ethereum, des tactiques similaires ont été employées sur d'autres plateformes, comme un faux dépôt GitHub qui se faisait passer pour un bot de trading de Solana et qui distribuait malware pour voler des identifiants de portefeuilles de cryptomonnaies. De plus, les hackers ont attaqué "Bitcoinlib", une bibliothèque Python open source conçue pour faciliter le développement de Bitcoin, ce qui illustre encore plus la nature diverse et adaptative de ces menaces cybernétiques.