マルウェアはイーサリアムのスマートコントラクトを悪用して検出を回避します

ブロックチェーンのセキュリティに対する新たな脅威

サイバー犯罪者は、従来のセキュリティスキャンを回避しながら、Ethereumのスマートコントラクトを介してマルウェアを配布するための高度な手法を開発しました。このサイバー攻撃の進化は、ReversingLabsのサイバーセキュリティ研究者によって特定され、彼らはNode Package Manager (NPM)のリポジトリで新しいオープンソースのマルウェアを発見しました。これは、膨大な数のJavaScriptパッケージとライブラリのコレクションです。

攻撃の技術的メカニズム

ReversingLabsの研究者、ルチア・ヴァレンティッチは、最近の投稿で、「colortoolsv2」と「mimelib2」と呼ばれる悪意のあるパッケージが、悪意のあるコマンドを隠すためにEthereumのスマートコントラクトを使用していることを強調しました。これらのパッケージは7月に公開され、直接悪意のあるリンクをホスティングするのではなく、スマートコントラクトからコマンドおよび制御サーバーのアドレスを取得するダウンローダーとして機能します。

この技術は、ブロックチェーンのトラフィックが正当であるように見えるため、検出の努力を大幅に複雑にします。これにより、マルウェアは従来のセキュリティシステムで警告を発することなく、侵害されたシステムにダウンローダーソフトウェアをインストールすることができます。

回避戦略の進化

Ethereumのスマートコントラクトを使用して、悪意のあるコマンドが存在するURLをホストすることは、マルウェアの展開において新しい技術を表しています。Valentić氏は、この方法が検出回避戦略において重要な変化を示していると指摘しました。なぜなら、悪意のあるアクターがオープンソースのリポジトリや開発者をますます利用しているからです。

この戦術は、今年の初めに北朝鮮に関連するラザルスグループによって以前に使用されました。しかし、現在のアプローチは攻撃ベクトルの急速な進化を示しており、その効果を高めるためにブロックチェーン技術を取り入れています。

精巧なソーシャルエンジニアリングキャンペーン

悪意のあるパッケージは、主にGitHubを通じて運営されるより広範な詐欺キャンペーンの一部です。攻撃者は、暗号通貨の取引ボットの偽のリポジトリを作成し、次のようにして信頼できるものとして提示しています：

• 製造されたコミット
• 偽のユーザーアカウント
• 複数のメンテナアカウント
• プロフェッショナルな外観のプロジェクトの説明と文書

この巧妙に構築されたソーシャルエンジニアリング戦略は、ブロックチェーン技術と欺瞞的な手法を組み合わせることで、従来の検出方法を回避し、特定を難しくする正当性の外観を作り出します。

拡大する脅威のパンorama

2024年、セキュリティ研究者はオープンソースコードリポジトリに関連する23の暗号通貨に関する悪意のあるキャンペーンを文書化しました。しかし、この最新の攻撃ベクトルは、リポジトリへの攻撃の継続的な進化を強調しています。

イーサリアムを超えて、同様の戦術が他のプラットフォームでも使用されています。例えば、ソラナのトレーディングボットを装った偽のGitHubリポジトリがあり、暗号通貨のウォレットの認証情報を盗むためのマルウェアを配布していました。また、ハッカーはビットコインの開発を容易にするために設計されたオープンソースのPythonライブラリ「Bitcoinlib」を攻撃しており、これらのサイバー脅威の多様で適応的な性質をさらに示しています。

推奨される保護対策

この種の脅威から自分自身を守るために、暗号通貨のユーザーは複数のセキュリティ層を実装する必要があります。

• ハードウェアウォレットを使用して安全に保管する
• すべてのプラットフォームで二要素認証を有効にする
• セキュリティソフトウェアとデバイスを最新の状態に保つ
• コードリポジトリの信頼性を使用する前に徹底的に確認する
• 継続的な監視ソリューションを実装して、疑わしい活動を検出する

これらの脅威の進化は、ブロックチェーンエコシステムにおいて、特にスマートコントラクトやオープンソースコードリポジトリと対話する開発者やユーザーにとって、堅牢で最新のセキュリティ慣行を維持する重要性を示しています。