بدأ مجرمو الإنترنت في استخدام إيثريوم العقود الذكية لإخفاء أوامر البرامج الضارة، مما يخلق تحديات جديدة لفِرق الأمان مع استغلال المتسللين لتكنولوجيا البلوكشين للتهرب من أنظمة الاكتشاف. اكتشفت شركة امتثال الأصول الرقمية ReversingLabs التقنية بعد تحليل حزم ضارة أُُحملت إلى مستودع مدير حزم العقدة في يوليو.
تتيح الطريقة للمهاجمين دمج أنشطتهم مع حركة مرور البلوكشين الشرعية، مما يجعل العمليات الضارة أصعب بكثير في التعرف والحجب.
ما يجب معرفته:
- حزمتي NPM المعروفتين باسم "colortoolsv2" و "mimelib2" استخدمتا عقود إيثريوم الذكية لاسترداد عناوين خوادم ضارة قبل تثبيت البرنامج الضار من المرحلة الثانية
- وثق الباحثون في الأمن 23 حملة ضارة متعلقة بالتشفير عبر مستودعات مفتوحة المصدر في عام 2024 وحده
- مجموعة لازاروس المرتبطة بكوريا الشمالية استخدمت سابقًا طرق توزيع البرامج الضارة القائمة على البلوكشين المشابهة
طريقة توزيع جديدة تستغل البنية التحتية للبلوكشين
الحزم المحددة بواسطة ReversingLabs بدت شرعية لكنها احتوت على وظائف مخفية مصممة لجلب التعليمات من عقود إيثريوم الذكية. بدلاً من استضافة روابط ضارة مباشرة، عمل البرنامج كمحملين لاسترداد عناوين لخوادم التحكم.
قالت لوسيجا فالنتيك، باحثة في ReversingLabs، إن استضافة عناوين URL الضارة على عقود إيثريوم مثلت نهجًا غير مسبوق. "هذا شيء لم نشاهده سابقًا"، صرحت فالنتيك، موصوفة التطور كتطور سريع في كيفية تجاوز المهاجمين لأنظمة مسح الأمان.
تستفيد التقنية من حقيقة أن حركة البلوكشين غالبًا ما تبدو شرعية لبرامج الأمان. تكافح أساليب الاكتشاف التقليدية للتمييز بين عمليات العقود الذكية العادية وتلك المستخدمة لأغراض ضارة.
روبوتات تجارية مزيفة كناقل الهجوم الرئيسي
شكلت الحزم الضارة جزءًا من حملة خداع أوسع أُجريت عبر مستودعات GitHub. بنى المهاجمون مشاريع روبوتات تجارة العملات المشفرة المزيفة كاملة بسجل إرساليات مزيفة، وحسابات مشرف مزيفة متعددة، وتوثيق احترافي مصمم لجذب المطورين.
صُنعت هذه المستودعات لتبدو موثوقة أثناء عملها كآليات توصيل لتثبيت البرامج الضارة. يظهر تعقيد المشاريع المزيفة إلى أي مدى سيذهب مجرمو الإنترنت لإنشاء المصداقية قبل إطلاق الهجمات.
حدد محللو الأمن هذا المزيج من تخزين الأوامر على البلوكشين والهندسة الاجتماعية كتسارع كبير في تعقيد الهجوم. النهج يجعل الاكتشاف أصعب بكثير لفِرق الأمن السيبراني التي يجب عليها الآن مراقبة قنوات الهجوم التقليدية وتلك القائمة على البلوكشين.
الحملة التي تستهدف مدير حزم العقدة تمثل مجرد جانب واحد من اتجاه أوسع يؤثر على مجتمعات التطوير المفتوحة المصدر. يستهدف المهاجمون تحديدًا هذه البيئات لأن المطورين غالبًا ما يثبتون الحزم دون مراجعات أمنية دقيقة.
الهجمات السابقة القائمة على البلوكشين تستهدف مشاريع العملات المشفرة
إيثريوم ليست الشبكة البلوكشين الوحيدة التي يتم استغلالها لأغراض توزيع البرامج الضارة. في وقت سابق من هذا العام، نشرت مجموعة لازاروس المرتبطة بكوريا الشمالية برامج ضارة استخدمت أيضًا عقود إيثريوم، رغم أن تنفيذها الخاص اختلف عن هجوم NPM الأخير.
في أبريل، أنشأ مهاجمون مستودع GitHub احتيالي انتحل مشروع روبوت تجارة عملة سولانا.
استخدم المستودع المزيف لتوزيع برامج ضارة مصممة خصيصًا لسرقة بيانات اعتماد محفظة العملات المشفرة من الضحايا.
حالة موثقة أخرى شملت "Bitcoinlib"، مكتبة بيثون مخصصة لأعمال تطوير البيتكوين. استهدف المخترقون هذه الأداة التطويرية الشرعية لأغراض سرقة بيانات الاعتماد مماثلة.
تظهر النمط أن مجرمي الإنترنت يستهدفون باستمرار أدوات التطوير المتعلقة بالعملات المشفرة ومستودعات المصادر المفتوحة. هذه البيئات توفر ظروفًا مثالية للهجمات لأن المطورين يعملون بشكل متكرر مع مكتبات وأدوات برمجية جديدة وغير مألوفة.
فهم تكنولوجيا البلوكشين والعقود الذكية
العقود الذكية هي برامج ذاتية التنفيذ تعمل على شبكات البلوكشين مثل إيثريوم. تقوم تلقائيًا بتنفيذ الشروط المحددة مسبقًا دون الحاجة إلى تدخل بشري أو إشراف من الوسطاء التقليديين.
تخزن هذه العقود البيانات بشكل دائم في البلوكشين، مما يجعلها متاحة من أي مكان في العالم. الطبيعة اللامركزية لشبكات البلوكشين تعني أن إزالة المحتوى الضار تصبح صعبة للغاية بمجرد نشره.
تمثل خوادم التحكم في القيادة أنظمة حاسوب يستخدمها مجرمو الإنترنت للتواصل مع الأجهزة المصابة. من خلال تخزين عناوين الخوادم على شبكات البلوكشين، ينشئ المهاجمون قنوات اتصال أصعب على فرق الأمان تعطيلها أو مراقبتها.
أفكار ختامية
اكتشاف أوامر البرامج الضارة المخفية في عقود إيثريوم الذكية يمثل تطورًا مهمًا في تكتيكات مجرمي الإنترنت، حيث يستغل المهاجمون بشكل متزايد تكنولوجيا البلوكشين للتهرب من أنظمة الاكتشاف. أكدت فالنتيك أن مجرمي الإنترنت يسعون باستمرار للحصول على طرق جديدة لتجاوز دفاعات الأمان، مع تخزين الأوامر القائمة على البلوكشين يمثل ابتكارهم الأخير للبقاء أمام الإجراءات الأمنية السيبرانية.