Cyberkriminelle haben begonnen, Ethereum Smart Contracts zu nutzen, um Malware-Befehle zu verbergen, wodurch Sicherheits-Teams neuen Herausforderungen gegenüberstehen, da Angreifer Blockchain-Technologie nutzen, um Erkennungssysteme zu umgehen. Die Digital-Asset-Compliance-Firma ReversingLabs entdeckte die Technik nach der Analyse zweier bösartiger Pakete, die im Juli in das Node Package Manager-Repository hochgeladen wurden.
Die Methode ermöglicht es Hackern, ihre Aktivitäten mit legitimem Blockchain-Traffic zu mischen, was es erheblich erschwert, bösartige Operationen zu identifizieren und zu blockieren.
Was zu wissen ist:
- Zwei NPM-Pakete namens "colortoolsv2" und "mimelib2" nutzten Ethereum-Smart-Contracts, um bösartige Serveradressen abzurufen, bevor sie eine zweite Malware-Stufe installierten
- Sicherheitsforscher dokumentierten 23 kryptobezogene bösartige Kampagnen in Open-Source-Repositories allein im Jahr 2024
- Die Nordkoreanische verknüpfte Lazarus-Gruppe hat zuvor ähnliche blockchain-basierte Malware-Verteilungsmethoden verwendet
Neue Verteilungsmethode nutzt Blockchain-Infrastruktur aus
Die von ReversingLabs identifizierten Pakete schienen legitim, enthielten jedoch versteckte Funktionen, die darauf ausgelegt waren, Anweisungen von Ethereum-Smart-Contracts abzurufen. Anstatt bösartige Links direkt zu hosten, fungierte die Software als Downloader, der Adressen für Kommando-und-Kontroll-Server abrief.
Lucija Valentić, Forscherin bei ReversingLabs, sagte, das Hosten von bösartigen URLs in Ethereum-Contracts stelle einen beispiellosen Ansatz dar. "Das ist etwas, das wir so noch nicht gesehen haben", erklärte Valentić und beschrieb die Entwicklung als eine rasche Evolution darin, wie Angreifer Sicherheitsscansysteme umgehen.
Die Technik nutzt die Tatsache aus, dass Blockchain-Traffic für Sicherheitssoftware oft legitim erscheint. Herkömmliche Erkennungsmethoden kämpfen damit, normale Smart-Contract-Operationen von solchen zu unterscheiden, die für bösartige Zwecke genutzt werden.
Gefälschte Trading-Bots dienen als primäre Angriffsvektoren
Die bösartigen Pakete waren Teil einer breiteren Täuschungskampagne, die über GitHub-Repositories durchgeführt wurde. Angreifer konstruieren gefälschte Krypto-Handelsbot-Projekte, komplett mit erfundenen Commit-Historien, mehreren gefälschten Maintainer-Konten und professioneller Dokumentation, die darauf abzielt, Entwickler anzulocken.
Diese Repositories wurden so gestaltet, dass sie vertrauenswürdig erscheinen, während sie als Bereitstellungsmechanismen für Malware-Installationen dienen. Die Raffinesse der gefälschten Projekte zeigt, wie weit Cyberkriminelle gehen, um Glaubwürdigkeit zu etablieren, bevor sie Angriffe starten.
Sicherheitsanalysten haben diese Kombination aus blockchain-basierter Befehlspeicherung und Social Engineering als signifikante Eskalation in der Angriffskomplexität identifiziert. Der Ansatz erschwert die Erkennung erheblich für Cybersicherheitsteams, die nun sowohl traditionelle Angriffspfade als auch blockchain-basierte Kommunikation überwachen müssen.
Die Kampagne, die den Node Package Manager ins Visier nahm, stellt nur einen Aspekt eines größeren Trends dar, der sich auf Open-Source-Entwicklungsgemeinschaften auswirkt. Angreifer zielen gezielt auf diese Umgebungen ab, da Entwickler oft Pakete ohne gründliche Sicherheitsüberprüfungen installieren.
Bisherige blockchain-basierte Angriffe zielen auf Krypto-Projekte ab
Ethereum ist nicht das einzige Blockchain-Netzwerk, das für die Verbreitung von Malware ausgenutzt wird. Anfang des Jahres setzte die mit Nordkorea verbundene Lazarus-Gruppe Malware ein, die ebenfalls Ethereum-Contracts nutzte, obwohl ihre spezifische Implementierung sich von dem jüngsten NPM-Angriff unterschied.
Im April erstellten Angreifer ein betrügerisches GitHub-Repository, das ein Solana-Trading-Bot-Projekt imitierte.
Das gefälschte Repository wurde genutzt, um Malware zu verbreiten, die speziell darauf ausgelegt war, Kryptowährungs-Wallet-Zugangsdaten von Opfern zu stehlen.
Ein weiterer dokumentierter Fall betraf "Bitcoinlib", eine Python-Bibliothek, die für die Bitcoin-Entwicklung gedacht war. Hacker haben dieses legitime Entwicklungstool für ähnliche Zielzwecke von Zugangsdiebstählen missbraucht.
Das Muster zeigt, dass Cyberkriminelle konsequent kryptowährungsbezogene Entwicklungstools und Open-Source-Repositories angreifen. Diese Umgebungen bieten ideale Bedingungen für Angriffe, da Entwickler häufig mit neuen, unbekannten Code-Bibliotheken und Werkzeugen arbeiten.
Verstehen von Blockchain- und Smart-Contract-Technologie
Smart Contracts sind selbstausführende Programme, die auf Blockchain-Netzwerken wie Ethereum laufen. Sie führen automatisch vordefinierte Bedingungen aus, ohne dass menschliches Eingreifen oder Überwachung durch traditionelle Vermittler erforderlich ist.
Diese Verträge speichern Daten dauerhaft auf der Blockchain und machen sie von überall auf der Welt zugänglich. Die dezentrale Natur von Blockchain-Netzwerken bedeutet, dass es extrem schwierig wird, bösartige Inhalte zu entfernen, sobald sie bereitgestellt wurden.
Kommando-und-Kontroll-Server sind Computersysteme, die Cyberkriminelle nutzen, um mit infizierten Geräten zu kommunizieren. Durch die Speicherung von Serveradressen auf Blockchain-Netzwerken schaffen Angreifer Kommunikationskanäle, die für Sicherheitsteams schwer zu unterbrechen oder zu überwachen sind.
Abschließende Gedanken
Die Entdeckung von Malware-Befehlen, die in Ethereum-Smart-Contracts versteckt sind, markiert eine signifikante Evolution in den Taktiken von Cyberkriminellen, da Angreifer zunehmend Blockchain-Technologie zur Umgehung von Erkennungssystemen nutzen. Valentić betonte, dass Cyberkriminelle kontinuierlich nach neuen Methoden suchen, um Sicherheitsabwehrmaßnahmen zu umgehen, wobei die blockchain-basierte Befehlspeicherung ihre neueste Innovation darstellt, um den Cybersicherheitsmaßnahmen einen Schritt voraus zu sein.