Согласно недавним отчетам, киберпреступники разработали сложный метод распространения вредоносных программ через смарт-контракты Ethereum, обходя традиционные сканирования безопасности. Эта эволюция кибератак была выявлена исследователями кибербезопасности из ReversingLabs, которые обнаружили новый вредоносный код с открытым исходным кодом в репозитории Node Package Manager (NPM), обширной коллекции пакетов и библиотек JavaScript.

Исследователь ReversingLabs, Лусия Валентиć, отметила в недавней публикации, что пакеты вредоносных программ, называемые "colortoolsv2" и "mimelib2", используют смарт-контракты Ethereum для скрытия вредоносных команд. Эти пакеты, опубликованные в июле, функционируют как загрузчики, которые получают адреса серверов командования и управления из смарт-контрактов вместо того, чтобы напрямую размещать вредоносные ссылки. Этот подход усложняет усилия по обнаружению, так как трафик блокчейна выглядит легитимным, что позволяет вредоносным программам устанавливать программное обеспечение загрузки на скомпрометированные системы.

Использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные программы, представляет собой новую технику в реализации вредоносного ПО. Валентиć отметил, что этот метод знаменует собой значительное изменение в стратегиях избежания обнаружения, поскольку злоумышленники все чаще используют репозитории с открытым кодом и разработчиков. Эта тактика ранее использовалась группой Lazarus, связанной с Северной Кореей, в начале этого года, но текущий подход демонстрирует быструю эволюцию в векторах атаки.

Пакеты вредоносных программ являются частью более широкой кампании обмана, которая в основном работает через GitHub. Киберпреступники создали поддельные репозитории ботов для торговли криптовалютами, представляя их как надежные с помощью поддельных коммитов, фальшивых учетных записей пользователей, множества учетных записей кураторов и профессионально выглядящих описаний и документации проектов. Эта сложная стратегия социальной инженерии нацелена на обход традиционных методов обнаружения, сочетая технологии блокчейна с обманными практиками.

В 2024 году исследователи в области безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в открытых репозиториях кода. Однако этот последний вектор атаки подчеркивает продолжающуюся эволюцию атак на репозитории. Помимо Ethereum, аналогичные тактики были использованы на других платформах, таких как фальшивый репозиторий GitHub, маскирующийся под торгового бота Solana, который распространял вредоносные программы для кражи учетных данных криптовалютных кошельков. Кроме того, хакеры атаковали "Bitcoinlib", библиотеку Python с открытым исходным кодом, разработанную для упрощения разработки Bitcoin, что еще больше иллюстрирует разнообразный и адаптивный характер этих киберугроз.