Згідно з нещодавніми звітами, кіберзлочинці розробили складний метод для розповсюдження шкідливих програм через смартконтракти в Ethereum, ухиляючись від традиційних сканувань безпеки. Цю еволюцію в кібератаках виявили дослідники з кібербезпеки компанії ReversingLabs, які знайшли нове шкідливе програмне забезпечення з відкритим кодом у репозиторії Node Package Manager (NPM), великій колекції пакетів і бібліотек JavaScript.

Дослідниця ReversingLabs, Лучія Валентиć, підкреслила в нещодавній публікації, що пакети шкідливих програм, які називаються "colortoolsv2" та "mimelib2", використовують смартконтракти Ethereum для приховування шкідливих команд. Ці пакети, опубліковані в липні, функціонують як завантажувачі, які отримують адреси серверів команд і контролю з смартконтрактів замість того, щоб безпосередньо хостити шкідливі посилання. Цей підхід ускладнює зусилля з виявлення, оскільки трафік блокчейну виглядає легітимним, що дозволяє шкідливим програмам встановлювати програмне забезпечення для завантаження на скомпрометовані системи.

Використання смартконтрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, є новою технікою в реалізації шкідливих програм. Валентич зазначив, що цей метод знаменує собою значну зміну в стратегіях ухилення від виявлення, оскільки зловмисники все більше експлуатують відкриті репозиторії коду та розробників. Цю тактику раніше використовувала група Lazarus, пов'язана з Північною Кореєю, на початку цього року, але нинішній підхід демонструє швидку еволюцію вектора атаки.

Пакети шкідливих програм є частиною більш широкої кампанії обману, яка в основному діє через GitHub. Кіберзлочинці створили фальшиві репозиторії ботів для торгівлі криптовалютами, представляючи їх як надійні завдяки сфабрикованим комітам, фальшивим обліковим записам користувачів, численним обліковим записам утримувачів та описам і документації проектів з професійним виглядом. Ця складна стратегія соціальної інженерії має на меті обійти традиційні методи виявлення, поєднуючи технологію blockchain з обманними практиками.

У 2024 році дослідники безпеки задокументували 23 шкідливі кампанії, пов'язані з криптовалютами, у відкритих репозиторіях коду. Однак цей останній вектор атаки підкреслює постійну еволюцію атак на репозиторії. Поза Ethereum подібні тактики були використані й на інших платформах, таких як фальшивий репозиторій GitHub, який видавав себе за торгового бота Solana і розповсюджував шкідливі програми для крадіжки облікових даних криптовалютних гаманців. Крім того, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, призначену для спрощення розробки Bitcoin, що ще більше ілюструє різноманітну і адаптивну природу цих кіберзагроз.