Hackers de Cripto agora estão usando contratos inteligentes da Ethereum para mascarar cargas de malware

Ethereum tornou-se o mais novo alvo para ataques à cadeia de suprimentos de software.

Pesquisadores da ReversingLabs descobriram no início desta semana dois pacotes NPM maliciosos que usaram contratos inteligentes de Ethereum para ocultar códigos nocivos, permitindo que o malware burlasse verificações de segurança tradicionais.

NPM é um gerenciador de pacotes para o ambiente de execução Node.js e é considerado o maior registro de software do mundo, onde desenvolvedores podem acessar e compartilhar códigos que contribuem para milhões de programas de software.

Os pacotes, “colortoolsv2” e “mimelib2”, foram enviados ao amplamente utilizado repositório Node Package Manager em julho. À primeira vista, pareciam utilitários simples, mas, na prática, utilizavam a blockchain do Ethereum para buscar URLs ocultas que direcionavam sistemas comprometidos a baixar um malware de segunda fase.

Ao incorporar esses comandos dentro de um contrato inteligente, os atacantes disfarçaram sua atividade como tráfego legítimo da blockchain, tornando a detecção mais difícil.

“Isso é algo que não havíamos visto anteriormente”, disse a pesquisadora da ReversingLabs, Lucija Valentić, em seu relatório. “Isso destaca a rápida evolução das estratégias de evasão de detecção por atores maliciosos que estão explorando repositórios de código aberto e desenvolvedores.”

A técnica se baseia em um antigo manual de ataques. Ataques anteriores já usaram serviços confiáveis como GitHub Gists, Google Drive ou OneDrive para hospedar links maliciosos. Ao utilizar contratos inteligentes do Ethereum, os atacantes adicionaram um toque cripto a uma tática de cadeia de suprimentos já perigosa.

O incidente faz parte de uma campanha mais ampla. A ReversingLabs descobriu que os pacotes estavam ligados a repositórios falsos do GitHub que se passavam por cryptocurrency trading bots. Esses repositórios eram preenchidos com commits fabricados, contas de usuários falsas e contagens de estrelas infladas para parecerem legítimos.

Desenvolvedores que baixaram o código corriam o risco de importar malware sem perceber.

Os riscos na cadeia de suprimentos em ferramentas cripto de código aberto não são novidade. No ano passado, pesquisadores identificaram mais de 20 campanhas maliciosas direcionadas a desenvolvedores por meio de repositórios como npm e PyPI.

Muitas tinham como objetivo roubar credenciais de carteiras ou instalar mineradores de criptomoedas. Mas o uso de contratos inteligentes do Ethereum como mecanismo de entrega mostra que os adversários estão se adaptando rapidamente para se misturar ao ecossistema blockchain.

Uma lição para os desenvolvedores é que commits populares ou mantenedores ativos podem ser falsificados, e até mesmo pacotes aparentemente inofensivos podem carregar cargas ocultas.