Шкідливе програмне забезпечення експлуатує контракти розуму Ethereum, щоб уникнути виявлення

Нова загроза для безпеки блокчейн

Кіберзлочинці розробили складний метод для розповсюдження шкідливого програмного забезпечення через смарт-контракти Ethereum, обходячи традиційні перевірки безпеки. Цю еволюцію в кібератаках виявили дослідники з кібербезпеки ReversingLabs, які знайшли новий шкідливий код з відкритим вихідним кодом у репозиторії Node Package Manager (NPM), великій колекції пакетів і бібліотек JavaScript.

Технічний механізм атаки

Дослідниця ReversingLabs, Люція Валентич, зазначила в нещодавньому дописі, що шкідливі пакети, які називаються "colortoolsv2" та "mimelib2", використовують смарт-контракти Ethereum для приховування шкідливих команд. Ці пакети, опубліковані в липні, працюють як завантажувачі, які отримують адреси серверів команд і керування з смарт-контрактів замість того, щоб безпосередньо містити шкідливі посилання.

Ця техніка значно ускладнює зусилля з виявлення, оскільки трафік блокчейну виглядає легітимним, що дозволяє шкідливому програмному забезпеченню встановлювати завантажувачі на скомпрометовані системи, не викликаючи тривог у традиційних системах безпеки.

Еволюція в стратегіях ухилення

Використання смарт-контрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, є новою технікою у розгортанні шкідливого ПЗ. Валентич зазначив, що цей метод відзначає значну зміну в стратегіях уникнення виявлення, оскільки зловмисники все більше експлуатують репозиторії з відкритим кодом і розробників.

Цю тактику раніше використовувала група Lazarus, пов'язана з Північною Кореєю, на початку цього року. Проте, теперішній підхід демонструє швидку еволюцію вектора атаки, впроваджуючи технологію blockchain для підвищення її ефективності.

Розроблена соціальна інженерна кампанія

Шкідливі пакети є частиною більш широкої кампанії обману, яка переважно працює через GitHub. Зловмисники створили фальшиві репозиторії ботів для торгівлі криптовалютами, представляючи їх як надійні за допомогою:

• Виготовлені коміти
• Фальшиві облікові записи користувачів
• Кілька рахунків утримувачів
• Опис проектів та документація професійного вигляду

Ця розроблена стратегія соціальної інженерії намагається обійти традиційні методи виявлення, поєднуючи технологію блокчейн з оманливими практиками, створюючи видимість легітимності, що ускладнює її ідентифікацію.

Розширений панорама загроз

У 2024 році дослідники безпеки задокументували 23 шкідливі кампанії, пов'язані з криптовалютами, у відкритих репозиторіях коду. Проте, цей останній вектор атаки підкреслює постійний розвиток атак на репозиторії.

По той бік Ethereum подібні тактики використовувалися на інших платформах, таких як фальшивий репозиторій GitHub, який видавав себе за торгового бота Solana, що розповсюджував шкідливе програмне забезпечення для крадіжки облікових даних криптовалютних гаманців. Крім того, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, розроблену для спрощення розробки Bitcoin, що ще більше ілюструє різноманітний і адаптивний характер цих кіберзагроз.

Рекомендовані заходи захисту

Щоб захиститися від цього типу загроз, користувачі криптовалют повинні впроваджувати кілька рівнів безпеки:

• Використовуйте апаратні гаманці для безпечного зберігання
• Увімкнути двофакторну автентифікацію на всіх платформах
• Підтримуйте актуальність програмного забезпечення безпеки та пристроїв
• Ретельно перевірте автентичність кодових репозиторіїв перед їх використанням
• Впровадження рішень для безперервного моніторингу для виявлення підозрілої діяльності

Еволюція цих загроз демонструє важливість підтримки надійних і актуальних практик безпеки в екосистемі блокчейн, особливо для розробників і користувачів, які взаємодіють зі смарт-контрактами та відкритими репозиторіями коду.