Theo các báo cáo gần đây, tội phạm mạng đã phát triển một phương pháp tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh của Ethereum, vượt qua các quét bảo mật truyền thống. Sự tiến hóa trong các cuộc tấn công mạng này đã được các nhà nghiên cứu bảo mật mạng của ReversingLabs phát hiện, những người đã phát hiện một phần mềm độc hại mã nguồn mở mới trong kho Node Package Manager (NPM), một bộ sưu tập lớn các gói và thư viện JavaScript.

Nhà nghiên cứu của ReversingLabs, Lucija Valentić, đã nhấn mạnh trong một bài đăng gần đây rằng các gói phần mềm độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh của Ethereum để ẩn các lệnh độc hại. Các gói này, được phát hành vào tháng 7, hoạt động như các trình tải xuống nhận địa chỉ từ các máy chủ điều khiển và kiểm soát từ các hợp đồng thông minh thay vì lưu trữ trực tiếp các liên kết độc hại. Cách tiếp cận này làm phức tạp các nỗ lực phát hiện, vì lưu lượng truy cập trên chuỗi khối có vẻ hợp pháp, cho phép phần mềm độc hại cài đặt phần mềm tải xuống trên các hệ thống bị xâm phạm.

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ URL nơi chứa các lệnh độc hại đại diện cho một kỹ thuật mới trong việc triển khai phần mềm độc hại. Valentić chỉ ra rằng phương pháp này đánh dấu một sự thay đổi đáng kể trong các chiến lược lẩn tránh phát hiện, khi các tác nhân độc hại ngày càng khai thác các kho mã nguồn mở và các nhà phát triển. Tactics này đã được nhóm Lazarus, có liên quan đến Triều Tiên, sử dụng trước đó vào đầu năm nay, nhưng cách tiếp cận hiện tại cho thấy sự phát triển nhanh chóng trong các vectơ tấn công.

Các gói phần mềm độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn, hoạt động chủ yếu thông qua GitHub. Những kẻ tấn công mạng đã tạo ra các kho lưu trữ giả mạo của các bot giao dịch tiền điện tử, trình bày chúng một cách đáng tin cậy thông qua các commit giả, tài khoản người dùng giả mạo, nhiều tài khoản người bảo trì và các mô tả cũng như tài liệu dự án có vẻ chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm mục đích vượt qua các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các thực hành lừa dối.

Vào năm 2024, các nhà nghiên cứu bảo mật đã ghi nhận 23 chiến dịch độc hại liên quan đến tiền điện tử trong các kho mã nguồn mở. Tuy nhiên, vector tấn công gần đây này nhấn mạnh sự tiến hóa liên tục của các cuộc tấn công vào các kho chứa. Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, chẳng hạn như một kho giả mạo trên GitHub giả danh là một bot giao dịch của Solana, phân phối phần mềm độc hại để đánh cắp thông tin đăng nhập ví tiền điện tử. Hơn nữa, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để tạo điều kiện cho việc phát triển Bitcoin, điều này càng minh họa thêm tính đa dạng và khả năng thích ứng của những mối đe dọa mạng này.