Los ciberdelincuentes han comenzado a utilizar Ethereum contratos inteligentes para ocultar comandos de malware, creando nuevos desafíos para los equipos de seguridad a medida que los atacantes explotan la tecnología blockchain para evadir sistemas de detección. La firma de cumplimiento de activos digitales ReversingLabs descubrió la técnica después de analizar dos paquetes maliciosos subidos al repositorio de Node Package Manager en julio.
El método permite a los hackers mezclar sus actividades con el tráfico legítimo de blockchain, haciendo que las operaciones maliciosas sean mucho más difíciles de identificar y bloquear.
Lo que Debes Saber:
- Dos paquetes NPM llamados "colortoolsv2" y "mimelib2" utilizaron contratos inteligentes de Ethereum para recuperar direcciones de servidores maliciosos antes de instalar malware de segunda etapa
- Los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto solo en 2024
- El Grupo Lazarus, vinculado a Corea del Norte, ha utilizado anteriormente métodos similares de distribución de malware basados en blockchain
Nuevo Método de Distribución Explota Infraestructura de Blockchain
Los paquetes identificados por ReversingLabs parecían legítimos, pero contenían funciones ocultas diseñadas para obtener instrucciones de contratos inteligentes de Ethereum. En lugar de alojar enlaces maliciosos directamente, el software actuaba como descargadores que recuperaban direcciones para servidores de comando y control.
Lucija Valentić, investigadora de ReversingLabs, dijo que el alojamiento de URLs maliciosas en contratos de Ethereum representaba un enfoque sin precedentes. "Eso es algo que no habíamos visto previamente," afirmó Valentić, describiendo el desarrollo como una evolución rápida en cómo los atacantes eluden los sistemas de escaneo de seguridad.
La técnica aprovecha el hecho de que el tráfico de blockchain a menudo parece legítimo para el software de seguridad. Los métodos de detección tradicionales luchan por distinguir entre operaciones normales de contratos inteligentes y aquellas utilizadas con fines maliciosos.
Bots de Trading Falsos como Vectores de Ataque Primarios
Los paquetes maliciosos formaron parte de una campaña de engaño más amplia llevada a cabo a través de repositorios de GitHub. Los atacantes construyeron proyectos falsos de bots de trading de criptomonedas completos con historiales de commits fabricados, múltiples cuentas de mantenedores falsas y documentación profesional diseñada para atraer a los desarrolladores.
Estos repositorios fueron creados para parecer confiables mientras servían como mecanismos de entrega para instalaciones de malware. La sofisticación de los proyectos falsos demuestra hasta qué punto los ciberdelincuentes llegarán para establecer credibilidad antes de lanzar ataques.
Los analistas de seguridad han identificado esta combinación de almacenamiento de comandos basado en blockchain e ingeniería social como una escalada significativa en la complejidad del ataque. El enfoque hace que la detección sea sustancialmente más difícil para los equipos de ciberseguridad que ahora deben monitorear tanto vectores de ataque tradicionales como comunicaciones basadas en blockchain.
La campaña dirigida al Node Package Manager representa solo un aspecto de una tendencia más amplia que afecta a las comunidades de desarrollo de código abierto. Los atacantes apuntan específicamente a estos entornos porque los desarrolladores a menudo instalan paquetes sin realizar revisiones de seguridad exhaustivas.
Ataques Anteriores Basados en Blockchain Apuntan a Proyectos de Criptomonedas
Ethereum no es la única red blockchain que se está explotando para fines de distribución de malware. A principios de este año, el Grupo Lazarus, vinculado a Corea del Norte, desplegó malware que también utilizaba contratos de Ethereum, aunque su implementación específica difería del reciente ataque a NPM.
En abril, los atacantes crearon un repositorio de GitHub fraudulento que suplantaba un proyecto de bot de trading de Solana.
El repositorio falso se utilizó para distribuir malware diseñado específicamente para robar credenciales de billeteras de criptomonedas de las víctimas.
Otro caso documentado involucró "Bitcoinlib," una biblioteca Python destinada al trabajo de desarrollo de Bitcoin. Los hackers apuntaron a esta herramienta de desarrollo legítima para propósitos similares de robo de credenciales.
El patrón muestra que los ciberdelincuentes consistentemente apuntan a herramientas de desarrollo relacionadas con criptomonedas y repositorios de código abierto. Estos entornos brindan condiciones ideales para ataques porque los desarrolladores frecuentemente trabajan con nuevas bibliotecas de código y herramientas desconocidas.
Entendiendo la Tecnología Blockchain y de Contratos Inteligentes
Los contratos inteligentes son programas autoejecutables que se ejecutan en redes blockchain como Ethereum. Ejecutan automáticamente condiciones predeterminadas sin requerir intervención humana o supervisión de intermediarios tradicionales.
Estos contratos almacenan datos de manera permanente en el blockchain, haciéndolos accesibles desde cualquier parte del mundo. La naturaleza descentralizada de las redes blockchain significa que eliminar contenido malicioso se vuelve extremadamente difícil una vez que ha sido desplegado.
Los servidores de comando y control son sistemas informáticos que los ciberdelincuentes utilizan para comunicarse con dispositivos infectados. Al almacenar direcciones de servidores en redes blockchain, los atacantes crean canales de comunicación que son más difíciles de interrumpir o monitorear por parte de los equipos de seguridad.
Reflexiones Finales
El descubrimiento de comandos de malware ocultos en contratos inteligentes de Ethereum marca una evolución significativa en las tácticas de los ciberdelincuentes, ya que los atacantes explotan cada vez más la tecnología blockchain para evadir los sistemas de detección. Valentić enfatizó que los ciberdelincuentes buscan continuamente nuevos métodos para eludir las defensas de seguridad, con el almacenamiento de comandos basado en blockchain representando su última innovación para mantenerse por delante de las medidas de ciberseguridad.