Вредоносное ПО эксплуатирует смарт-контракты Ethereum для уклонения от обнаружения

Новая угроза для безопасности блокчейна

Киберпреступники разработали sofisticированный метод для распространения вредоносного программного обеспечения через смарт-контракты Ethereum, обходя традиционные проверки безопасности. Эта эволюция в кибератаках была выявлена исследователями кибербезопасности из ReversingLabs, которые обнаружили новое вредоносное ПО с открытым исходным кодом в репозитории Node Package Manager (NPM), огромной коллекции пакетов и библиотек JavaScript.

Технический механизм атаки

Исследовательница ReversingLabs, Лучия Валентиć, отметила в недавней публикации, что вредоносные пакеты, называемые "colortoolsv2" и "mimelib2", используют смарт-контракты Ethereum для скрытия вредоносных команд. Эти пакеты, опубликованные в июле, функционируют как загрузчики, которые извлекают адреса серверов командного управления и контроля из смарт-контрактов, вместо того чтобы напрямую размещать вредоносные ссылки.

Эта техника значительно усложняет усилия по обнаружению, поскольку блокчейн-трафик выглядит легитимным, позволяя вредоносному ПО устанавливать загрузчик на скомпрометированные системы, не вызывая тревог в традиционных системах безопасности.

Эволюция стратегий уклонения

Использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, представляет собой новую технику развертывания вредоносного ПО. Валентиć отметил, что этот метод знаменует собой значительное изменение в стратегиях уклонения от обнаружения, так как злоумышленники все чаще используют репозитории с открытым исходным кодом и разработчиков.

Тактика, использованная ранее группой Lazarus, связанной с Северной Кореей, в начале этого года. Однако текущий подход демонстрирует быструю эволюцию в векторах атаки, включая технологии блокчейна для повышения своей эффективности.

Сложная кампания социальной инженерии

Малiciousные пакеты являются частью более широкой кампании обмана, которая в основном работает через GitHub. Нападающие создали фальшивые репозитории ботов для торговли криптовалютами, представляя их как надежные с помощью:

• Изготовленные коммиты
• Ложные учетные записи пользователей
• Множественные учетные записи держателей
• Описания проектов и документация профессионального вида

Эта продуманная стратегия социальной инженерии направлена на то, чтобы обойти традиционные методы обнаружения, сочетая технологии блокчейн с обманными практиками, создавая видимость легитимности, что затрудняет их идентификацию.

Расширяющийся панорама угроз

В 2024 году исследователи безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в открытых репозиториях кода. Однако этот последний вектор атаки подчеркивает продолжающуюся эволюцию атак на репозитории.

Помимо Ethereum, аналогичные тактики использовались и на других платформах, таких как ложный репозиторий GitHub, который выдавал себя за торгового бота Solana, распространяющего вредоносное ПО для кражи учетных данных криптовалютных кошельков. Кроме того, хакеры атаковали "Bitcoinlib", открытую библиотеку Python, предназначенную для упрощения разработки Bitcoin, что еще больше иллюстрирует разнообразный и адаптивный характер этих киберугроз.

Рекомендуемые меры защиты

Чтобы защититься от такого рода угроз, пользователям криптовалют необходимо внедрить несколько уровней безопасности:

• Использовать аппаратные кошельки для безопасного хранения
• Включите двухфакторную аутентификацию на всех платформах
• Обновляйте программное обеспечение безопасности и устройства
• Тщательно проверяйте подлинность репозиториев кода перед их использованием
• Реализовать решения для непрерывного мониторинга с целью выявления подозрительной активности

Эволюция этих угроз демонстрирует важность поддержания надежных и актуальных практик безопасности в экосистеме блокчейн, особенно для разработчиков и пользователей, которые взаимодействуют с умными контрактами и репозиториями с открытым исходным кодом.