Cyberkriminelle nutzen Ethereum Smart-Contracts, um Malware-Befehle zu verbergen, wodurch neue Herausforderungen für Sicherheitsteams entstehen, während Angreifer Blockchain-Technologie nutzen, um Erkennungssysteme zu umgehen. Die Firma für digitale Vermögens-Compliance, ReversingLabs, entdeckte die Technik nach der Analyse von zwei bösartigen Paketen, die im Juli in das Node Package Manager Repository hochgeladen wurden.
Die Methode ermöglicht es Hackern, ihre Aktivitäten mit legitimem Blockchain-Verkehr zu vermischen, wodurch bösartige Operationen erheblich schwerer zu identifizieren und zu blockieren sind.
Was man wissen sollte:
- Zwei NPM-Pakete namens "colortoolsv2" und "mimelib2" nutzten Ethereum-Smart-Contracts, um bösartige Serveradressen abzurufen, bevor sie eine zweite Stufe von Malware installierten
- Sicherheitsforscher dokumentierten 23 kryptobezogene bösartige Kampagnen in Open-Source-Repositorys allein im Jahr 2024
- Die mit Nordkorea in Verbindung stehende Lazarus-Gruppe hat zuvor ähnliche blockchain-basierte Malware-Vertriebsmethoden verwendet
Neue Verteilungsmethode nutzt Blockchain-Infrastruktur aus
Die von ReversingLabs identifizierten Pakete erschienen legitim, enthielten jedoch versteckte Funktionen, um Anweisungen aus Ethereum-Smart-Contracts zu ziehen. Anstatt bösartige Links direkt zu hosten, fungierte die Software als Downloader, die Adressen für Kommando-und-Kontroll-Server abrief.
Lucija Valentić, eine Forscherin bei ReversingLabs, sagte, dass das Hosting bösartiger URLs auf Ethereum-Conracts einen beispiellosen Ansatz darstelle. "Das ist etwas, das wir bisher noch nicht gesehen haben", erklärte Valentić und beschrieb die Entwicklung als eine rasche Evolution, wie Angreifer Sicherheits-Scan-Systeme umgehen.
Die Technik nutzt die Tatsache aus, dass Blockchain-Verkehr oft legitim für Sicherheitssoftware erscheint. Herkömmliche Erkennungsmethoden haben Schwierigkeiten, zwischen normalen Smart-Contract-Operationen und solchen für bösartige Zwecke zu unterscheiden.
Gefälschte Handels-Bots dienen als primäre Angriffsmethode
Die bösartigen Pakete bildeten einen Teil einer breiteren Täuschungskampagne, die über GitHub-Repositorys durchgeführt wurde. Angreifer erstellten gefälschte Kryptowährungshandels-Bot-Projekte mit erfundenen Commit-Historien, mehreren gefälschten Wartungskonten und professioneller Dokumentation, um Entwickler anzulocken.
Diese Repositorys wurden so gestaltet, dass sie vertrauenswürdig erscheinen, während sie als Verbreitungsmechanismen für Malware-Installationen dienten. Die Raffinesse der gefälschten Projekte zeigt, welche Anstrengungen Cyberkriminelle unternehmen, um Glaubwürdigkeit zu erlangen, bevor sie Angriffe starten.
Sicherheitsanalysten haben diese Kombination aus blockchain-basierter Befehlsablage und Social Engineering als signifikante Eskalation der Angriffskomplexität identifiziert. Der Ansatz macht die Erkennung erheblich schwieriger für Cybersecurity-Teams, die nun sowohl traditionelle Angriffsvektoren als auch blockchain-basierte Kommunikation überwachen müssen.
Die Kampagne, die auf den Node Package Manager abzielt, stellt nur einen Aspekt eines größeren Trends dar, der sich auf Open-Source-Entwicklungs-Communities auswirkt. Angreifer zielen speziell auf diese Umgebungen ab, da Entwickler oft Pakete ohne gründliche Sicherheitsüberprüfungen installieren.
Frühere blockchain-basierte Angriffe zielen auf Kryptowährungsprojekte ab
Ethereum ist nicht das einzige Blockchain-Netzwerk, das für die Verteilung von Malware ausgenutzt wird. Anfang dieses Jahres setzte die mit Nordkorea in Verbindung stehende Lazarus-Gruppe Malware ein, die ebenfalls Ethereum-Contracts nutzte, obwohl ihre spezifische Implementierung sich von dem kürzlichen NPM-Angriff unterschied.
Im April erstellten Angreifer ein gefälschtes GitHub-Repository, das ein Solana-Handels-Bot-Projekt imitierte.
Das gefälschte Repository wurde verwendet, um Malware zu verbreiten, die speziell entwickelt wurde, um Anmeldeinformationen für Kryptowährungs-Wallets von Opfern zu stehlen.
Ein weiterer dokumentierter Fall betraf "Bitcoinlib", eine Python-Bibliothek, die für Bitcoin-Entwicklungsarbeiten bestimmt ist. Hacker zielten auf dieses legitime Entwicklungstool für ähnliche Zwecke des Anmeldedaten-Diebstahls ab.
Das Muster zeigt, dass Cyberkriminelle kontinuierlich kryptowährungsbezogene Entwicklungs-Tools und Open-Source-Repositorys ins Visier nehmen. Diese Umgebungen bieten ideale Bedingungen für Angriffe, da Entwickler häufig mit neuen, unvertrauten Codebibliotheken und -werkzeugen arbeiten.
Verstehen von Blockchain- und Smart-Contract-Technologie
Smart Contracts sind selbstausführende Programme, die auf Blockchain-Netzwerken wie Ethereum laufen. Sie führen automatisch vorbestimmte Bedingungen aus, ohne menschliches Eingreifen oder Überwachung durch traditionelle Vermittler zu benötigen.
Diese Verträge speichern Daten dauerhaft auf der Blockchain, wodurch sie von überall auf der Welt zugänglich sind. Die dezentrale Natur von Blockchain-Netzwerken bedeutet, dass das Entfernen bösartiger Inhalte extrem schwierig wird, sobald sie bereitgestellt sind.
Kommando-und-Kontroll-Server sind Computersysteme, die Cyberkriminelle verwenden, um mit infizierten Geräten zu kommunizieren. Indem sie Serveradressen auf Blockchain-Netzwerken speichern, schaffen Angreifer Kommunikationskanäle, die für Sicherheitsteams schwerer zu stören oder zu überwachen sind.
Schlussgedanken
Die Entdeckung von Malware-Befehlen, die in Ethereum Smart Contracts versteckt sind, markiert eine bedeutende Evolution in den Taktiken von Cyberkriminellen, da Angreifer zunehmend Blockchain-Technologie nutzen, um Erkennungssysteme zu umgehen. Valentić betonte, dass Cyberkriminelle kontinuierlich nach neuen Methoden suchen, um Sicherheitsschutzmaßnahmen zu umgehen, wobei die blockchain-basierte Befehlsablage ihre neueste Innovation darstellt, um Cybersecurity-Maßnahmen voraus zu sein.