恶意软件利用以太坊智能合约逃避检测

区块链安全的新威胁

网络犯罪分子已经开发出一种复杂的方法，通过以太坊智能合约分发恶意软件，从而绕过传统的安全扫描。这种网络攻击的演变已被ReversingLabs的网络安全研究人员识别，他们在Node Package Manager (NPM)的代码库中发现了新的开源恶意软件，这是一个庞大的JavaScript包和库的集合。

攻击的技术机制

ReversingLabs的研究员Lucija Valentić在最近的一篇文章中指出，名为"colortoolsv2"和"mimelib2"的恶意软件包利用以太坊智能合约来隐藏恶意命令。这些于七月发布的软件包作为下载器，从智能合约中获取命令和控制服务器的地址，而不是直接托管恶意链接。

这项技术显著增加了检测的难度，因为区块链流量看起来是合法的，从而允许恶意软件在受损系统上安装下载软件，而不会在传统安全系统中引起警报。

逃避策略的演变

以太坊智能合约用于托管恶意命令所在的 URLs 代表了一种新颖的恶意软件部署技术。Valentić 指出，这种方法标志着检测规避策略的重大变化，因为恶意行为者越来越多地利用开源代码库和开发者。

这种战术今年早些时候曾被与朝鲜有关的拉撒路集团使用。然而，目前的策略表明攻击向量迅速发展，采用区块链技术以提高其有效性。

精心策划的社交工程活动

恶意软件包是一个更广泛的欺骗活动的一部分，该活动主要通过 GitHub 进行。攻击者创建了虚假的加密货币交易机器人存储库，通过以下方式使其看起来可信：

• 制造的承诺
• 假用户账户
• 多个维护者账户
• 项目描述和专业外观的文档

这项精心策划的社会工程策略旨在通过将区块链技术与欺骗性做法相结合，规避传统的检测方法，创造出一种合法性的外观，从而使其难以被识别。

扩展威胁全景

在2024年，安全研究人员在开源代码库中记录了23个与加密货币相关的恶意活动。这一最新的攻击方式突显了对代码库攻击的持续演变。

除了以太坊之外，类似的策略也在其他平台上使用，例如一个假冒的GitHub存储库，伪装成一个Solana的交易机器人，分发恶意软件以窃取加密货币钱包的凭据。此外，黑客还攻击了 "Bitcoinlib"，这是一个旨在促进比特币开发的开源Python库，这进一步说明了这些网络威胁的多样性和适应性。

推荐的保护措施

为了防范这种类型的威胁，加密货币用户必须实施多层安全措施：

• 使用硬件钱包进行安全存储
• 在所有平台上启用双因素认证
• 保持安全软件和设备的更新
• 在使用之前仔细检查代码库的真实性
• 实施持续监控解决方案以检测可疑活动

这些威胁的发展表明，在区块链生态系统中维持强大且最新的安全实践的重要性，尤其是对于与智能合约和开源代码库互动的开发者和用户。