Malware sử dụng hợp đồng thông minh Ethereum để tránh bị phát hiện

Theo các nghiên cứu gần đây, tội phạm mạng đã phát triển một phương pháp tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh trên blockchain của Ethereum, qua mặt các hệ thống bảo mật thông tin truyền thống. Sự tiến hóa trong các cuộc tấn công mạng này đã được các nhà nghiên cứu bảo mật của ReversingLabs xác định, những người đã phát hiện malware mã nguồn mở mới trong kho Node Package Manager (NPM), một bộ sưu tập lớn các gói và thư viện JavaScript.

Một vector tấn công mới trên chuỗi khối

Nhà nghiên cứu Lucija Valentić từ ReversingLabs đã nhấn mạnh trong một bài đăng kỹ thuật rằng các gói phần mềm độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh trên Ethereum để che giấu các lệnh độc hại. Các gói này, được phát hành vào tháng 7, hoạt động như các trình tải xuống, lấy địa chỉ của các máy chủ chỉ huy và kiểm soát từ các hợp đồng thông minh thay vì lưu trữ trực tiếp các liên kết độc hại. Cách tiếp cận này làm phức tạp các nỗ lực phát hiện, vì lưu lượng blockchain xuất hiện hợp pháp, cho phép phần mềm độc hại cài đặt phần mềm bổ sung trên các hệ thống bị xâm phạm.

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ các URL nơi chứa các lệnh độc hại đại diện cho một kỹ thuật đổi mới trong việc phân phối phần mềm độc hại. Valentić chỉ ra rằng phương pháp này đánh dấu một sự thay đổi đáng kể trong các chiến lược để tránh bị phát hiện, trong khi các tác nhân độc hại ngày càng khai thác các kho mã nguồn mở và các nhà phát triển.

Sự tiến hóa của chiến thuật và bối cảnh lịch sử

Kỹ thuật này đã được nhóm Lazarus, liên kết với Bắc Triều Tiên, sử dụng trước đó vào đầu năm nay. Tuy nhiên, phương pháp hiện tại cho thấy sự phát triển nhanh chóng trong các vector tấn công được sử dụng bởi tội phạm mạng.

Các gói phần mềm độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn, chủ yếu hoạt động thông qua GitHub. Những kẻ tấn công đã tạo ra các kho giả mạo của bot giao dịch tiền điện tử, trình bày chúng như thể có uy tín thông qua các commit giả mạo, tài khoản người dùng giả, nhiều tài khoản duy trì và mô tả cùng tài liệu dự án có vẻ chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm vượt qua các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các thực hành lừa đảo.

Một bức tranh ngày càng gia tăng về các mối đe dọa

Vào năm 2024, các nhà nghiên cứu an ninh đã ghi nhận 23 chiến dịch phần mềm độc hại liên quan đến tiền điện tử trong các kho mã nguồn mở. Tuy nhiên, vectơ tấn công gần đây này nhấn mạnh sự phát triển liên tục của các cuộc tấn công vào các kho.

Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, như một kho lưu trữ giả mạo trên GitHub giả danh là một bot giao dịch của Solana, phân phối phần mềm độc hại để đánh cắp thông tin xác thực ví tiền điện tử. Hơn nữa, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để tạo điều kiện cho việc phát triển Bitcoin, điều này càng minh họa cho tính chất đa dạng và thích ứng của những mối đe dọa mạng này.

Các tác động đến an ninh blockchain

Hình thức mới này của việc sử dụng công nghệ blockchain cho mục đích độc hại đại diện cho một thách thức đáng kể đối với các hệ thống an ninh truyền thống. Bằng cách tận dụng tính chất phi tập trung và độ tin cậy của các mạng blockchain, các kẻ tấn công có thể tạo ra cơ sở hạ tầng độc hại khó bị phát hiện và trung hòa bằng các công cụ thông thường.

Đối với người dùng nền tảng blockchain và các nhà phát triển, sự phát triển này nhấn mạnh tầm quan trọng của việc thực hiện các biện pháp an ninh bổ sung và thực hiện các kiểm tra kỹ lưỡng khi tương tác với các kho mã nguồn mở và gói phần mềm, đặc biệt là những gói liên quan đến ứng dụng tiền điện tử và tài chính phi tập trung.