Malware Explora Contratos Inteligentes de Ethereum para Evitar Detecção

Nova Ameaça para a Segurança Blockchain

Os cibercriminosos desenvolveram um método sofisticado para distribuir software malicioso através de contratos inteligentes de Ethereum, contornando as varreduras de segurança tradicionais. Esta evolução nos ciberataques foi identificada por investigadores de cibersegurança da ReversingLabs, que descobriram novo malware de código aberto no repositório Node Package Manager (NPM), uma vasta coleção de pacotes e bibliotecas JavaScript.

Mecanismo Técnico do Ataque

A investigadora da ReversingLabs, Lucija Valentić, destacou numa publicação recente que os pacotes maliciosos, denominados "colortoolsv2" e "mimelib2", utilizam contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estes pacotes, publicados em julho, funcionam como descarregadores que recuperam endereços de servidores de comando e controlo a partir de contratos inteligentes em vez de alojar diretamente ligações maliciosas.

Esta técnica complica significativamente os esforços de deteção, uma vez que o tráfego blockchain parece legítimo, permitindo que o malware instale software descarregador em sistemas comprometidos sem levantar alertas nos sistemas de segurança tradicionais.

Evolução nas Estratégias de Evasão

O uso de contratos inteligentes do Ethereum para alojar URLs onde se encontram os comandos maliciosos representa uma técnica inovadora na implantação de malware. Valentić apontou que este método marca uma mudança significativa nas estratégias de evasão de deteção, uma vez que os atores maliciosos exploram cada vez mais repositórios de código aberto e desenvolvedores.

Esta tática foi empregue anteriormente pelo grupo Lazarus, vinculado à Coreia do Norte, no início deste ano. No entanto, a abordagem atual demonstra uma rápida evolução nos vetores de ataque, incorporando tecnologia blockchain para aumentar a sua eficácia.

Campanha de Engenharia Social Elaborada

Os pacotes maliciosos fazem parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os atacantes criaram repositórios falsos de bots de trading de criptomoedas, apresentando-os como credíveis através de:

• Compromissos fabricados
• Contas de utilizador falsas
• Múltiplas contas de mantenedores
• Descrições de projetos e documentação de aspecto profissional

Esta elaborada estratégia de engenharia social busca eludir os métodos de deteção tradicionais combinando tecnologia blockchain com práticas enganosas, criando uma aparência de legitimidade que dificulta a sua identificação.

Panorama de Ameaças em Expansão

Em 2024, os investigadores de segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque sublinha a contínua evolução dos ataques a repositórios.

Para além do Ethereum, táticas semelhantes foram empregues em outras plataformas, como um repositório falso de GitHub que se passava por um bot de trading de Solana, que distribuía malware para roubar credenciais de carteiras de criptomoedas. Além disso, os hackers atacaram "Bitcoinlib", uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento de Bitcoin, o que ilustra ainda mais a natureza diversa e adaptativa dessas ciberameaças.

Medidas de Proteção Recomendadas

Para se proteger contra este tipo de ameaças, os usuários de criptomoedas devem implementar múltiplas camadas de segurança:

• Utilizar carteiras hardware para armazenamento seguro
• Ativar a autenticação de dois fatores em todas as plataformas
• Manter o software de segurança e os dispositivos atualizados
• Verificar minuciosamente a autenticidade dos repositórios de código antes de os utilizar
• Implementar soluções de monitoramento contínuo para detectar atividades suspeitas

A evolução dessas ameaças demonstra a importância de manter práticas de segurança robustas e atualizadas no ecossistema blockchain, especialmente para desenvolvedores e usuários que interagem com contratos inteligentes e repositórios de código aberto.