最近の報告によると、サイバー犯罪者はイーサリアムのスマートコントラクトを通じてマルウェアを配布するための洗練された手法を開発し、従来のセキュリティスキャンを回避しています。このサイバー攻撃の進化は、ReversingLabsのサイバーセキュリティ研究者によって特定され、彼らはNode Package Manager (NPM)のリポジトリで新しいオープンソースのマルウェアを発見しました。これは、広範なJavaScriptパッケージとライブラリのコレクションです。

ReversingLabsの研究者、Lucija Valentićは最近の投稿で、"colortoolsv2"および"mimelib2"と呼ばれるマルウェアのパッケージが、悪意のあるコマンドを隠すためにイーサリアムのスマートコントラクトを使用していることを指摘しました。これらのパッケージは7月に公開され、悪意のあるリンクを直接ホストするのではなく、スマートコントラクトからコマンドおよび制御サーバーのアドレスを取得するダウンローダーとして機能します。このアプローチは検出努力を複雑にし、ブロックチェーンのトラフィックが正当なものに見えるため、マルウェアが侵害されたシステムにダウンロードソフトウェアをインストールできるようにします。

イーサリアムのスマートコントラクトを利用して、悪意のあるコマンドが存在するURLをホスティングすることは、マルウェアの実装における新しい技術を示しています。バレンティッチは、この手法が検出回避戦略において重要な変化を示すことを指摘しました。悪意のある行為者がオープンソースのリポジトリと開発者をますます悪用しているためです。この戦術は、今年の初めに北朝鮮に関連するラザルスグループによって以前に使用されましたが、現在のアプローチは攻撃ベクトルの急速な進化を示しています。

マルウェアのパッケージは、主にGitHubを通じて運営されるより広範な欺瞞キャンペーンの一部です。サイバー犯罪者は、暗号通貨の取引ボットの偽のリポジトリを作成し、作成されたコミット、偽のユーザーアカウント、複数のメンテナーアカウント、プロジェクトのプロフェッショナルな外観の説明やドキュメントを用いて信頼性を持たせています。この巧妙なソーシャルエンジニアリング戦略は、ブロックチェーン技術を欺瞞的な慣行と組み合わせることで、従来の検出方法を回避することを目的としています。

2024年、セキュリティ研究者はオープンソースコードリポジトリに関連する暗号通貨に関する23の悪意のあるキャンペーンを文書化しました。しかし、この最新の攻撃ベクトルは、リポジトリへの攻撃の継続的な進化を強調しています。イーサリアムを超えて、同様の戦術が他のプラットフォームでも使用されており、例えば、ソラナのトレーディングボットを装った偽のGitHubリポジトリが、暗号通貨のウォレットの資格情報を盗むためのマルウェアを配布していました。さらに、ハッカーはビットコインの開発を容易にするために設計されたオープンソースのPythonライブラリ「Bitcoinlib」を攻撃しており、これらのサイバー脅威の多様で適応的な性質をさらに示しています。