Шкідливе ПЗ використовує смартконтракти Ethereum для ухилення від виявлення

Згідно з нещодавніми дослідженнями, кіберзлочинці розробили складний метод для розповсюдження шкідливих програм через смартконтракти в блокчейні Ethereum, обходячи традиційні системи комп'ютерної безпеки. Цю еволюцію в кібернападах виявили дослідники безпеки з ReversingLabs, які виявили новий відкритий код шкідливих програм у репозиторії Node Package Manager (NPM), великій колекції пакетів та бібліотек JavaScript.

Новий вектор атаки в блокчейні

Дослідниця Лусія Валентич з ReversingLabs підкреслила в технічній публікації, що шкідливі пакети, що отримали назву "colortoolsv2" та "mimelib2", використовують смартконтракти в Ethereum для приховування шкідливих команд. Ці пакети, опубліковані в липні, виконують функцію завантажувачів, що отримують адреси серверів командування та контролю з смартконтрактів замість того, щоб безпосередньо хостити шкідливі посилання. Такий підхід ускладнює зусилля з виявлення, оскільки трафік блокчейн виглядає легітимним, що дозволяє шкідливим програмам встановлювати додаткове програмне забезпечення на зламані системи.

Використання смартконтрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, є інноваційною технікою в розподілі шкідливих програм. Валентиć зазначив, що цей метод є значною зміною в стратегіях ухилення від виявлення, оскільки зловмисники дедалі більше експлуатують репозиторії з відкритим кодом і розробників.

Еволюція тактик та історичний контекст

Цю техніку раніше використовувала група Lazarus, пов'язана з Північною Кореєю, на початку цього року. Однак теперішній підхід демонструє швидку еволюцію вектора атаки, що використовуються кіберзлочинцями.

Шкідливі пакети є частиною більш широкої кампанії обману, яка в основному працює через GitHub. Зловмисники створили фальшиві репозиторії ботів для торгівлі криптовалютами, представляючи їх як надійні через сфабриковані коміти, фальшиві облікові записи користувачів, численні облікові записи утримувачів та описи і документацію проектів професійного вигляду. Ця складна стратегія соціальної інженерії має на меті обійти традиційні методи виявлення, поєднуючи технологію blockchain з оманливими практиками.

Зростаюча панорама загроз

У 2024 році дослідники з безпеки задокументували 23 шкідливі кампанії, пов'язані з криптовалютами, у відкритих репозиторіях коду. Однак цей останній вектор атаки підкреслює постійну еволюцію атак на репозиторії.

Більше того, на Ethereum використовувалися подібні тактики на інших платформах, таких як фальшивий репозиторій GitHub, який видавав себе за торгового бота Solana, що розповсюджував шкідливі програми для крадіжки облікових даних криптовалютних гаманців. Крім того, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, розроблену для полегшення розробки Bitcoin, що ще більше ілюструє різноманітну та адаптивну природу цих кіберзагроз.

Наслідки для безпеки блокчейн

Цей новий спосіб використання технології блокчейн для злочинних цілей представляє собою значний виклик для традиційних систем безпеки. Використовуючи децентралізовану природу і надійність блокчейн-мереж, зловмисники можуть створювати шкідливі інфраструктури, які важко виявити та нейтралізувати звичайними інструментами.

Для користувачів блокчейн-платформ і розробників це розроблення підкреслює важливість впровадження додаткових заходів безпеки та проведення ґрунтовних перевірок при взаємодії з репозиторіями відкритого коду та програмними пакетами, особливо тими, що стосуються криптовалютних додатків і децентралізованих фінансів.