Hakerzy wykorzystują kontrakty Ethereum do ukrywania złośliwego oprogramowania w paczkach npm

• Złośliwe oprogramowanie wykorzystuje kontrakty Ethereum do ukrytych poleceń
• Złośliwe pakiety npm wykorzystują otwarte biblioteki open source
• Fałszywa kampania obejmuje boty do handlu kryptowalutami

Najnowszy raport firmy bezpieczeństwa ReversingLabs ujawnił, że hakerzy wykorzystują smart kontrakty Ethereum jako część nowej techniki ukrywania złośliwego oprogramowania w pakietach npm. Takie podejście zidentyfikowano w dwóch pakietach opublikowanych w lipcu, nazwanych "colortoolsv2" oraz "mimelib2", które pobierały instrukcje dowodzenia i kontroli bezpośrednio z kontraktów on-chain.

Zgodnie z informacjami badaczki Luciji Valentic, pakiety wykonywały zaciemnione skrypty, które odpytywały kontrakty Ethereum w celu zlokalizowania ładunku do kolejnego etapu infekcji. Ta metoda zastępuje tradycyjną praktykę wstawiania linków bezpośrednio do kodu, co utrudnia wykrycie i usunięcie złośliwego oprogramowania przez opiekunów bibliotek. "To coś, czego nigdy wcześniej nie widzieliśmy," powiedziała Valentic, podkreślając zaawansowanie techniki oraz szybkość, z jaką cyberprzestępcy dostosowują swoje strategie.

Oprócz użycia smart kontraktów, atakujący tworzyli fałszywe repozytoria GitHub o tematyce kryptowalutowej, takie jak boty handlowe, które wykazywały sztucznie zawyżoną aktywność. Fałszywe gwiazdki, automatyczne commity oraz fikcyjne profile opiekunów były wykorzystywane do oszukiwania deweloperów, by zaufali pakietom i włączyli je do swoich projektów.

Chociaż zidentyfikowane pakiety zostały już usunięte po zgłoszeniu, ReversingLabs ostrzegł, że incydent jest częścią większej kampanii mającej na celu kompromitację ekosystemów npm i GitHub. Wśród fałszywych repozytoriów znalazł się "solana-trading-bot-v2", który zawierał tysiące powierzchownych commitów w celu zdobycia wiarygodności przy jednoczesnym wprowadzaniu złośliwych zależności.

Valentic wyjaśniła, że śledztwo ujawniło dowody na szersze, skoordynowane działania mające na celu infiltrację złośliwego kodu do bibliotek szeroko wykorzystywanych przez deweloperów. "Te ostatnie ataki ze strony cyberprzestępców, w tym tworzenie zaawansowanych ataków z wykorzystaniem blockchain i GitHub, pokazują, że ataki na repozytoria ewoluują," podkreśliła.

Firma zidentyfikowała również wcześniejsze kampanie, które nadużywały zaufania deweloperów do pakietów open source. Najnowsza kampania jednak pokazuje, jak technologia blockchain jest kreatywnie wykorzystywana w schematach złośliwego oprogramowania, zwiększając złożoność bezpieczeństwa w ekosystemie rozwoju aplikacji i projektów związanych z kryptowalutami.