マルウェアはイーサリアムのスマートコントラクトを利用して検出を回避します

最近の調査によると、サイバー犯罪者はイーサリアムのブロックチェーン上でスマートコントラクトを介してマルウェアを配布するための高度な方法を開発し、従来のサイバーセキュリティシステムを回避しています。このサイバー攻撃の進化は、ReversingLabsのセキュリティ研究者によって特定され、彼らはリポジトリNode Package Manager (NPM)で新しいオープンソースのマルウェアを発見しました。これは、幅広いJavaScriptパッケージとライブラリのコレクションです。

ブロックチェーンにおける新しい攻撃ベクトル

リバースイングラボの研究者ルチア・ヴァレンティッチは、技術的な出版物で、"colortoolsv2"および"mimelib2"と呼ばれる悪意のあるパッケージが、悪意のあるコマンドを隠すためにイーサリアムのスマートコントラクトを利用していることを強調しました。これらのパッケージは7月に公開され、悪意のあるリンクを直接ホストするのではなく、スマートコントラクトからコマンドおよび制御サーバーのアドレスを取得するダウンローダーとして機能します。このアプローチは、ブロックチェーンのトラフィックが正当なものであるように見えるため、検出の努力を複雑にし、マルウェアが侵害されたシステムに追加のソフトウェアをインストールできるようにします。

イーサリアムのスマートコントラクトを使用して、悪意のあるコマンドがあるURLをホストすることは、マルウェアの配布における革新的な手法を表しています。バレンティッチは、この方法が検出を回避するための戦略において重要な変化を示していると指摘し、悪意のあるアクターがオープンソースのリポジトリと開発者をますます利用していると述べました。

戦術の進化と歴史的背景

この技術は、今年の初めに北朝鮮に関連するラザルスグループによって以前に使用されました。しかし、現在のアプローチはサイバー犯罪者によって使用される攻撃ベクトルの急速な進化を示しています。

悪意のあるパッケージは、主にGitHubを介して運営されるより広範な詐欺キャンペーンの一部です。攻撃者は、暗号通貨の取引ボットの偽のリポジトリを作成し、偽のコミット、偽のユーザーアカウント、複数のメンテナーアカウント、およびプロジェクトの見栄えの良い説明やドキュメントを使用して信頼性のあるものとして提示しています。この精巧なソーシャルエンジニアリング戦略は、ブロックチェーン技術と欺瞞的な慣行を組み合わせることで、従来の検出方法を回避しようとしています。

増大する脅威のパノラマ

2024年、セキュリティ研究者はオープンソースコードリポジトリに関連する23件の暗号通貨に関する悪意のあるキャンペーンを文書化しました。しかし、この最新の攻撃ベクターは、リポジトリへの攻撃の進化が続いていることを強調しています。

イーサリアムの先に、同様の戦術が他のプラットフォームでも使用されており、Solanaのトレーディングボットを装った偽のGitHubリポジトリが、暗号ウォレットの認証情報を盗むためにマルウェアを配布していました。さらに、ハッカーはBitcoinlibを攻撃しました。これはBitcoinの開発を容易にするために設計されたオープンソースのPythonライブラリであり、これらのサイバー脅威の多様で適応性のある性質をさらに示しています。

ブロックチェーンのセキュリティへの影響

この新しい形のブロックチェーン技術を悪意のある目的で使用することは、従来のセキュリティシステムにとって重要な課題を表しています。ブロックチェーンネットワークの分散型の性質と信頼性を利用することにより、攻撃者は従来のツールでは検出および無効化が困難な悪意のあるインフラストラクチャを作成することができます。

ブロックチェーンプラットフォームのユーザーや開発者にとって、この開発は、特に暗号通貨や分散型金融アプリケーションに関連するオープンソースのコードリポジトリやソフトウェアパッケージと対話する際に、追加のセキュリティ対策を講じ、徹底的な確認を行う重要性を強調しています。