Son dönemdeki raporlara göre, siber suçlular Ethereum'un akıllı sözleşmeleri aracılığıyla kötü amaçlı yazılım dağıtmak için sofistike bir yöntem geliştirdi ve geleneksel güvenlik taramalarını atlatmayı başardı. Bu siber saldırılardaki evrim, ReversingLabs siber güvenlik araştırmacıları tarafından tespit edildi; araştırmacılar, Node Package Manager (NPM) deposunda yeni bir açık kaynak kötü amaçlı yazılım keşfettiler, bu da geniş bir JavaScript paketleri ve kütüphaneleri koleksiyonudur.

ReversingLabs araştırmacısı Lucija Valentić, yakın zamanda yaptığı bir paylaşımda, "colortoolsv2" ve "mimelib2" adı verilen kötü amaçlı yazılım paketlerinin, zararlı komutları gizlemek için Ethereum akıllı sözleşmelerini kullandığını vurguladı. Temmuz ayında yayınlanan bu paketler, doğrudan kötü bağlantılar barındırmak yerine, akıllı sözleşmelerden komut ve kontrol sunucularının adreslerini elde eden indiriciler olarak çalışıyor. Bu yaklaşım, blockchain trafiğinin meşru görünmesi nedeniyle tespit çabalarını zorlaştırıyor ve kötü amaçlı yazılımın, tehlikeye atılmış sistemlere indirme yazılımı yüklemesine olanak tanıyor.

Ethereum akıllı sözleşmelerinin kötü amaçlı yazılım komutlarının bulunduğu URL'leri barındırmak için kullanılması, kötü amaçlı yazılım uygulamasında yenilikçi bir teknik olarak temsil edilmektedir. Valentić, bu yöntemin tespit kaçış stratejilerinde önemli bir değişim olduğunu belirtti, çünkü kötü niyetli aktörler giderek daha fazla açık kaynak kod havuzlarını ve geliştiricileri istismar ediyor. Bu taktik, bu yılın başlarında Kuzey Kore ile bağlantılı Lazarus grubunca daha önce kullanılmıştı, ancak mevcut yaklaşım saldırı vektörlerinde hızlı bir evrimi göstermektedir.

Kötü amaçlı yazılım paketleri, esasen GitHub aracılığıyla faaliyet gösteren daha geniş bir aldatma kampanyasının parçasıdır. Siber suçlular, kripto para ticaret botlarının sahte depolarını oluşturmuşlar ve bunları sahte commit’ler, sahte kullanıcı hesapları, çok sayıda bakım hesabı ve profesyonel görünümlü proje açıklamaları ve belgeleri ile inandırıcı hale getirmişlerdir. Bu karmaşık sosyal mühendislik stratejisi, blockchain teknolojisini aldatıcı uygulamalarla birleştirerek geleneksel tespit yöntemlerini aşmayı amaçlamaktadır.

2024'te, güvenlik araştırmacıları açık kaynak kodlu havuzlarda kripto paralarla ilgili 23 kötü amaçlı kampanya belgelendirdi. Ancak, bu son saldırı vektörü, havuzlara yönelik saldırıların sürekli evrimini vurguluyor. Ethereum'un ötesinde, Solana'nın bir ticaret botu gibi davranan sahte bir GitHub havuzunda kötü amaçlı yazılım dağıtarak kripto para cüzdanı kimlik bilgilerini çalmak için benzer taktikler kullanıldı. Ayrıca, hackerlar Bitcoin geliştirmeyi kolaylaştırmak için tasarlanmış açık kaynaklı bir Python kütüphanesi olan "Bitcoinlib"e saldırdı ve bu da bu siber tehditlerin çeşitliliğini ve uyum sağlama yeteneğini daha da gösteriyor.