Segundo relatórios recentes, cibercriminosos desenvolveram um método sofisticado para distribuir software malware através de contratos inteligentes de Ethereum, eludindo as varreduras de segurança tradicionais. Esta evolução nos ciberataques foi identificada por investigadores de cibersegurança da ReversingLabs, que descobriram um novo malware de código aberto no repositório Node Package Manager (NPM), uma extensa coleção de pacotes e bibliotecas JavaScript.

A investigadora da ReversingLabs, Lucija Valentić, destacou numa publicação recente que os pacotes de malware, denominados "colortoolsv2" e "mimelib2", utilizam contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estes pacotes, publicados em julho, funcionam como descarregadores que obtêm endereços de servidores de comando e controlo a partir de contratos inteligentes em vez de alojar diretamente links maliciosos. Esta abordagem complica os esforços de deteção, uma vez que o tráfego da cadeia de blocos parece legítimo, permitindo que o malware instale software de descarga em sistemas comprometidos.

O uso de contratos inteligentes de Ethereum para alojar URLs onde se encontram os comandos maliciosos representa uma técnica nova na implementação de malware. Valentić apontou que este método marca uma mudança significativa nas estratégias de evasão de deteção, já que os atores maliciosos exploram cada vez mais os repositórios de código aberto e os desenvolvedores. Esta tática foi empregue anteriormente pelo grupo Lazarus, afiliado à Coreia do Norte, no início deste ano, mas a abordagem atual demonstra uma rápida evolução nos vetores de ataque.

Os pacotes de malware são parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os cibercriminosos criaram repositórios falsos de bots de trading de criptomoedas, apresentando-os como credíveis através de commits fabricados, contas de usuário falsas, múltiplas contas de mantenedores e descrições e documentação de projetos com aparência profissional. Esta elaborada estratégia de engenharia social tem como objetivo eludir os métodos de detecção tradicionais, combinando tecnologia blockchain com práticas enganosas.

Em 2024, os investigadores de segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque sublinha a contínua evolução dos ataques a repositórios. Para além do Ethereum, foram empregues táticas semelhantes em outras plataformas, como um repositório falso do GitHub que se fazia passar por um bot de trading de Solana, o qual distribuía malware para roubar credenciais de carteiras de criptomoedas. Além disso, os hackers atacaram "Bitcoinlib", uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento de Bitcoin, o que ilustra ainda mais a natureza diversificada e adaptativa dessas ameaças cibernéticas.