Согласно недавним отчетам, киберпреступники разработали сложный метод распространения вредоносных программ через смарт-контракты в Ethereum, обходя традиционные проверки безопасности. Эта эволюция в кибератаках была выявлена исследователями кибербезопасности из ReversingLabs, которые обнаружили новый вредоносный код с открытым исходным кодом в репозитории Node Package Manager (NPM), обширной коллекции пакетов и библиотек JavaScript.

Исследователь ReversingLabs, Лучия Валентиć, отметила в недавней публикации, что пакеты вредоносных программ, называемые "colortoolsv2" и "mimelib2", используют смарт-контракты Ethereum для скрытия вредоносных команд. Эти пакеты, опубликованные в июле, функционируют как загрузчики, которые получают адреса серверов команд и контроля из смарт-контрактов вместо того, чтобы напрямую размещать вредоносные ссылки. Этот подход затрудняет усилия по обнаружению, поскольку трафик блокчейна выглядит легитимным, позволяя вредоносным программам устанавливать программное обеспечение загрузки на скомпрометированные системы.

Использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, представляет собой новую технику в реализации вредоносных программ. Валентиć отметил, что этот метод знаменует собой значительное изменение в стратегиях уклонения от обнаружения, так как злоумышленники все больше используют репозитории с открытым исходным кодом и разработчиков. Эта тактика была использована ранее группой Lazarus, связанной с Северной Кореей, в начале этого года, но текущий подход демонстрирует быструю эволюцию в векторах атак.

Пакеты вредоносных программ являются частью более широкой кампании обмана, которая в основном ведется через GitHub. Киберпреступники создали поддельные репозитории ботов для торговли криптовалютами, представляя их как надежные с помощью поддельных коммитов, фальшивых учетных записей пользователей, множества учетных записей поддерживающих и описаний и документации проектов с профессиональным видом. Эта продуманная стратегия социальной инженерии направлена на обход традиционных методов обнаружения, комбинируя технологии блокчейн с обманными практиками.

В 2024 году исследователи безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в репозиториях открытого кода. Однако этот последний вектор атаки подчеркивает продолжающуюся эволюцию атак на репозитории. За пределами Ethereum были использованы аналогичные тактики на других платформах, таких как поддельный репозиторий GitHub, который выдавал себя за торгового бота Solana и распределял вредоносные программы для кражи учетных данных криптовалютных кошельков. Кроме того, хакеры атаковали "Bitcoinlib", библиотеку Python с открытым исходным кодом, предназначенную для упрощения разработки Bitcoin, что еще больше иллюстрирует разнообразный и адаптивный характер этих киберугроз.