Вредоносное ПО использует смарт-контракты Ethereum для уклонения от обнаружения

Согласно недавним исследованиям, киберпреступники разработали сложный метод распространения вредоносных программ через смарт-контракты в блокчейне Ethereum, обходя традиционные системы компьютерной безопасности. Эта эволюция в кибератаках была выявлена исследователями безопасности из ReversingLabs, которые обнаружили новое вредоносное ПО с открытым исходным кодом в репозитории Node Package Manager (NPM), обширной коллекции пакетов и библиотек JavaScript.

Новый вектор атаки в блокчейне

Исследовательница Лусия Валентич из ReversingLabs отметила в технической публикации, что вредоносные пакеты, называемые "colortoolsv2" и "mimelib2", используют смарт-контракты на Ethereum для скрытия вредоносных команд. Эти пакеты, опубликованные в июле, работают как загрузчики, которые получают адреса серверов командования и управления из смарт-контрактов вместо прямого размещения вредоносных ссылок. Такой подход усложняет усилия по обнаружению, так как трафик блокчейна выглядит легитимным, позволяя вредоносным программам устанавливать дополнительное ПО на скомпрометированные системы.

Использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, представляет собой инновационную технику в распространении вредоносных программ. Валентиć отметил, что этот метод знаменует собой значительное изменение в стратегиях уклонения от обнаружения, в то время как злоумышленники все больше используют открытые репозитории кода и разработчиков.

Эволюция тактик и исторический контекст

Эта техника ранее использовалась группой Lazarus, связанной с Северной Кореей, в начале этого года. Однако текущий подход демонстрирует быструю эволюцию в векторах атак, используемых киберпреступниками.

Вредоносные пакеты являются частью более широкой кампании обмана, которая в основном функционирует через GitHub. Злоумышленники создали фальшивые репозитории ботов для торговли криптовалютами, представляя их как надежные с помощью подделанных коммитов, фальшивых учетных записей пользователей, множества учетных записей мейнтейнеров и описаний и документации проектов с профессиональным видом. Эта продуманная стратегия социальной инженерии нацелена на обход традиционных методов обнаружения, сочетая технологии blockchain с обманными практиками.

Растущий панорама угроз

В 2024 году исследователи в области безопасности задокументировали 23 вредоносные программы, связанные с криптовалютами, в открытых репозиториях кода. Однако этот последний вектор атаки подчеркивает продолжающуюся эволюцию атак на репозитории.

Помимо Ethereum, аналогичные тактики применялись и на других платформах, таких как фальшивый репозиторий GitHub, который выдавал себя за торгового бота Solana, распространяющего вредоносные программы для кражи учетных данных криптокошельков. Кроме того, хакеры атаковали "Bitcoinlib", библиотеку Python с открытым исходным кодом, предназначенную для упрощения разработки Bitcoin, что еще больше иллюстрирует разнообразный и адаптивный характер этих киберугроз.

ИмPLICATIONS ДЛЯ БЛОКЧЕЙН-БЕЗОПАСНОСТИ

Этот новый способ использования технологии блокчейн для злонамеренных целей представляет собой значительную проблему для традиционных систем безопасности. Используя децентрализованный характер и надежность блокчейн-сетей, злоумышленники могут создавать вредоносные инфраструктуры, которые трудно обнаружить и нейтрализовать с помощью традиционных инструментов.

Для пользователей платформ блокчейн и разработчиков это развитие подчеркивает важность внедрения дополнительных мер безопасности и проведения тщательных проверок при взаимодействии с репозиториями открытого кода и пакетами программного обеспечения, особенно связанными с приложениями для криптовалют и децентрализованными финансами.