Згідно з нещодавніми звітами, кіберзлочинці розробили складний метод для розповсюдження шкідливих програм через смартконтракти Ethereum, ухиляючись від традиційних перевірок безпеки. Цю еволюцію в кібератаках виявили дослідники кібербезпеки з ReversingLabs, які знайшли новий відкритий код шкідливих програм у репозиторії Node Package Manager (NPM), великій колекції пакетів та бібліотек JavaScript.

Дослідниця ReversingLabs, Лучія Валентиć, підкреслила в нещодавній публікації, що пакети шкідливих програм, що називаються "colortoolsv2" і "mimelib2", використовують смартконтракти Ethereum для приховування зловмисних команд. Ці пакети, опубліковані в липні, працюють як завантажувачі, які отримують адреси серверів команд і контролю з смартконтрактів, а не безпосередньо розміщують шкідливі посилання. Цей підхід ускладнює зусилля з виявлення, оскільки трафік блокчейну виглядає легітимним, дозволяючи шкідливим програмам встановлювати програмне забезпечення завантаження на скомпрометовані системи.

Використання смартконтрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, представляє собою нову техніку в реалізації шкідливих програм. Валентиć зазначив, що цей метод є значною зміною в стратегіях ухилення від виявлення, оскільки зловмисники все більше експлуатують репозиторії відкритого коду та розробників. Цю тактику раніше використовував група Lazarus, що має зв'язки з Північною Кореєю, на початку цього року, але нинішній підхід демонструє швидку еволюцію вектора атак.

Пакети шкідливих програм є частиною більш широкої кампанії обману, яка працює переважно через GitHub. Кіберзлочинці створили фальшиві репозиторії ботів для торгівлі криптовалютою, представляючи їх як достовірні за допомогою сфабрикованих комітів, фальшивих облікових записів користувачів, кількох облікових записів технічних адміністраторів та описів і документації проектів з професійним виглядом. Ця складна стратегія соціальної інженерії має на меті обійти традиційні методи виявлення, поєднуючи технологію blockchain з обманними практиками.

У 2024 році дослідники безпеки задокументували 23 шкідливі кампанії, пов'язані з криптовалютами, у відкритих репозиторіях коду. Однак цей останній вектор атаки підкреслює постійний розвиток атак на репозиторії. Поза Ethereum були використані подібні тактики на інших платформах, таких як фальшивий репозиторій GitHub, який видавав себе за торгового бота Solana, що розподіляв шкідливі програми для крадіжки облікових даних криптовалютних гаманців. Крім того, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, призначену для спрощення розробки Bitcoin, що ще більше ілюструє різноманітну та адаптивну природу цих кіберзагроз.