最近の報告によると、サイバー犯罪者はイーサリアム上のスマートコントラクトを通じてマルウェアを配布するための高度な方法を開発し、従来のセキュリティスキャンを回避しています。このサイバー攻撃の進化は、ReversingLabsのサイバーセキュリティ研究者によって特定され、新しいオープンソースのマルウェアがNode Package Manager (NPM)のリポジトリに発見されました。これは、広範なJavaScriptパッケージとライブラリのコレクションです。

ReversingLabsの研究者、ルチア・ヴァレンティッチは、最近の投稿で、「colortoolsv2」と「mimelib2」と呼ばれるマルウェアパッケージが、悪意のあるコマンドを隠すためにイーサリアムのスマートコントラクトを使用していることを強調しました。これらのパッケージは7月に公開され、マルウェアが直接悪意のあるリンクをホストするのではなく、スマートコントラクトからコマンドおよびコントロールサーバーのアドレスを取得するダウンローダーとして機能します。このアプローチは、ブロックチェーンのトラフィックが正当であるように見えるため、検出の努力を複雑にし、マルウェアが侵害されたシステムにダウンロードソフトウェアをインストールできるようにします。

イーサリアムのスマートコントラクトを使用して、マルウェアが存在するコマンドのURLをホストすることは、マルウェアの実装における新しい手法を示しています。バレンティッチは、この方法が検出回避戦略において重要な変化を示すものであり、悪意のあるアクターがオープンソースのリポジトリや開発者をますます悪用していると指摘しました。この戦術は、今年の初めに北朝鮮に関連するラザルスグループによって以前に使用されましたが、現在のアプローチは攻撃ベクトルの急速な進化を示しています。

マルウェアのパッケージは、主にGitHubを通じて運営されるより広範な詐欺キャンペーンの一部です。サイバー犯罪者は、暗号通貨の取引ボットの偽リポジトリを作成し、偽のコミット、偽のユーザーアカウント、複数のメンテナーアカウント、専門的に見えるプロジェクトの説明やドキュメントを用いて信頼性を装っています。この巧妙なソーシャルエンジニアリング戦略は、ブロックチェーン技術と欺瞞的な慣行を組み合わせることで、従来の検出方法を回避することを目的としています。

2024年、セキュリティ研究者たちはオープンソースコードリポジトリに関連する23件の暗号通貨に関する悪意のあるキャンペーンを記録しました。しかし、この最新の攻撃ベクトルは、リポジトリへの攻撃が継続的に進化していることを強調しています。イーサリアムを超えて、ソラナのトレーディングボットを装った偽のGitHubリポジトリのように、他のプラットフォームでも同様の戦術が使用されています。このリポジトリは、暗号通貨のウォレットの認証情報を盗むためにマルウェアを配布していました。さらに、ハッカーたちはビットコインの開発を容易にするために設計されたオープンソースのPythonライブラリ「Bitcoinlib」を攻撃しました。これは、これらのサイバー脅威の多様で適応的な性質をさらに示しています。