بدأ المجرمون الإلكترونيون في استخدام Ethereum عقود إيثيريوم الذكية لإخفاء أوامر البرمجيات الخبيثة، مما يخلق تحديات جديدة لفرق الأمان حيث يستغل المهاجمون تكنولوجيا البلوكتشين للتهرب من أنظمة الاكتشاف. اكتشفت شركة الامتثال للأصول الرقمية ReversingLabs هذه التقنية بعد تحليل حزم خبيثة تم تحميلها على مستودع مدير حزم العقدة في يوليو.
تتيح الطريقة للهاكرز دمج أنشطتهم مع حركة مرور البلوكتشين القانونية، مما يجعل العمليات الخبيثة أصعب بكثير للتحديد والحظر.
ما يجب معرفته:
- استُخدمت حزمتان NPM تسمى "colortoolsv2" و"mimelib2" عقود إيثيريوم لاسترداد عناوين الخوادم الخبيثة قبل تثبيت البرمجيات الخبيثة في المرحلة الثانية
- وثق الباحثون في مجال الأمان 23 حملة خبيثة ذات صلة بالتشفير عبر المستودعات مفتوحة المصدر في عام 2024 وحده
- استخدمت مجموعة لازاروس المرتبطة بكوريا الشمالية سابقًا طرق توزيع برمجيات خبيثة تستند إلى البلوكتشين مشابهة
طريقة توزيع جديدة تستغل بنية البلوكتشين الأساسية
الحزم المحددة بواسطة ReversingLabs بدت قانونية ولكن تحتوي على وظائف مخفية مصممة لسحب التعليمات من عقود إيثيريوم الذكية. بدلاً من استضافة روابط خبيثة مباشرة، تصرفت البرامج كمحملات تستعيد عناوين خوادم القيادة والسيطرة.
قالت لوسيجا فالينتيك، باحثة في ReversingLabs، إن استضافة روابط URL الخبيثة على عقود إيثيريوم تمثل نهجًا غير مسبوق. [ذاك شيء لم نشهده من قبل]، قالت فالينتيك، واصفة التطور بأنه تطور سريع في كيفية التفاف المهاجمين حول أنظمة فحص الأمان.
تستفيد التقنية من حقيقة أن حركة المرور على شبكة البلوكتشين غالبًا ما تبدو قانونية لبرامج الأمان. تواجه الطرق التقليدية للاكتشاف صعوبة في التفرقة بين العمليات الطبيعية للعقود الذكية وتلك المستخدمة لأغراض خبيثة.
بوتات تداول مزيفة تعتبر المتجه الأساسي للهجوم
شكلت الحزم الخبيثة جزءًا من حملة تضليل أوسع جرت عبر مستودعات GitHub. قام المهاجمون ببناء مشاريع بوتات تداول عملات رقمية مزيفة كاملة مع تواريخ الالتزام المزيفة، وحسابات صيانة مختلفة زائفة، ووثائق احترافية مصممة لجذب المطورين.
صُممت هذه المستودعات لتبدو موثوقة مع تقديم آليات لتسليم تثبيتات البرمجيات الخبيثة. يظهر تعقيد المشاريع المزيفة المدى الذي سيذهب إليه المجرمون الإلكترونيون لإنشاء مصداقية قبل بدء الهجمات.
حدد المحللون الأمنيون هذا المزيج من تخزين الأوامر المستند إلى البلوكتشين والهندسة الاجتماعية على أنه تصعيد كبير في تعقيد الهجوم. يجعل النهج الاكتشاف أصعب بكثير على فرق الأمن التي يتعين عليها الآن مراقبة كل من متجهات الهجوم التقليدية والاتصالات القائمة على البلوكتشين.
تمثل الحملة التي تستهدف مدير حزم العقدة مجرد جانب من جوانب اتجاه أكبر يؤثر على مجتمعات التطوير مفتوحة المصدر. يهدد المهاجمون هذه البيئات على وجه التحديد لأن المطورين غالبًا ما يقومون بتثبيت الحزم دون مراجعات أمان شاملة.
هجمات سابقة مستندة إلى البلوكتشين تستهدف مشاريع التشفير
الإيثيريوم ليست شبكة البلوكتشين الوحيدة التي تُستغل لأغراض توزيع البرمجيات الخبيثة. في وقت سابق من هذا العام، نشرت مجموعة لازاروس المرتبطة بكوريا الشمالية برمجيات خبيثة استخدمت أيضًا عقود إيثيريوم، رغم أن تنفيذها اختلف عن الهجوم الأخير على NPM.
في أبريل، أنشأ المهاجمون مستودعًا خادعًا على GitHub تظاهر بأنه مشروع بوت تداول سولانا.
استُخدم المستودع المزيف لتوزيع برمجيات خبيثة مصممة خصيصًا لسرقة بيانات اعتماد محافظ العملات الرقمية من الضحايا.
تضمنت حالة موثقة أخرى "Bitcoinlib"، وهي مكتبة بايثون مخصصة لأعمال تطوير البيتكوين. استهدف الهاكرز هذه الأداة التطويرية القانونية لأغراض سرقة بيانات الاعتماد بشكل مشابه.
يظهر النمط استهداف المجرمين الإلكترونيين باستمرار لأدوات التطوير المرتبطة بالتشفير والمستودعات مفتوحة المصدر. توفر هذه البيئات الظروف المثلى للهجمات لأن المطورين غالبًا ما يعملون مع مكتبات أدوات تعليم لغة جديدة وغير مألوفة.
فهم تقنية البلوكتشين والعقود الذكية
العقود الذكية هي برامج ذاتية التنفيذ تعمل على شبكات البلوكتشين مثل إيثيريوم. تقوم تلقائيًا بتنفيذ الشروط المحددة مسبقًا دون الحاجة إلى تدخل بشري أو إشراف من وسطاء تقليديين.
تقوم هذه العقود بتخزين البيانات بشكل دائم على البلوكتشين، مما يجعلها متاحة من أي مكان في العالم. تعني الطبيعة اللامركزية لشبكات البلوكتشين أن إزالة المحتوى الخبيث يصبح صعبًا للغاية بمجرد نشره.
خوادم القيادة والسيطرة هي أنظمة حاسوب يستخدمها المجرمون الإلكترونيون للتواصل مع الأجهزة المصابة. بواسطة تخزين عناوين الخوادم على شبكات البلوكتشين، يُنشئ المهاجمون قنوات اتصال يصعب على فرق الأمان تعطيلها أو مراقبتها.
ختاما
يمثل اكتشاف أوامر البرمجيات الخبيثة المخفية في عقود إيثيريوم الذكية تطورًا كبيرًا في تكتيكات المجرمين الإلكترونيين، حيث إن المهاجمين يستغلون بشكل متزايد تكنولوجيا البلوكتشين للتهرب من أنظمة الاكتشاف. شددت فالينتيك على أن المجرمين الإلكترونيين يسعون باستمرار إلى طرق جديدة لتجاوز دفاعات الأمان، مع تخزين الأوامر المستند إلى البلوكتشين كأحدث ابتكاراتهم للبقاء في المقدمة على التدابير الأمنية.