Les cybercriminels ont commencé à utiliser Ethereum pour cacher des commandes de logiciels malveillants, créant de nouveaux défis pour les équipes de sécurité alors que les attaquants exploitent la technologie de la blockchain pour échapper aux systèmes de détection. La société de conformité des actifs numériques ReversingLabs a découvert la technique après avoir analysé deux packages malveillants téléchargés sur le dépôt Node Package Manager en juillet.
Cette méthode permet aux hackers de mêler leurs activités au trafic légitime de la blockchain, rendant les opérations malveillantes considérablement plus difficiles à identifier et bloquer.
À savoir :
- Deux packages NPM appelés "colortoolsv2" et "mimelib2" ont utilisé des contrats intelligents Ethereum pour récupérer des adresses de serveurs malveillants avant d'installer des logiciels malveillants de deuxième étage
- Les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées à la crypto à travers des dépôts open-source rien qu'en 2024
- Le groupe Lazarus, lié à la Corée du Nord, a précédemment utilisé des méthodes similaires de distribution de logiciels malveillants basées sur la blockchain
Une nouvelle méthode de distribution exploite l'infrastructure blockchain
Les packages identifiés par ReversingLabs semblaient légitimes mais contenaient des fonctions cachées conçues pour extraire des instructions de contrats intelligents Ethereum. Plutôt que d'héberger directement des liens malveillants, le logiciel agissait comme des téléchargeurs qui récupéraient les adresses de serveurs de commande et de contrôle.
Lucija Valentić, chercheuse chez ReversingLabs, a déclaré que l'hébergement d'URLs malveillantes sur des contrats Ethereum représente une approche sans précédent. "C'est quelque chose que nous n'avons pas vu auparavant," a déclaré Valentić, décrivant ce développement comme une évolution rapide de la manière dont les attaquants contournent les systèmes de balayage de sécurité.
La technique tire profit du fait que le trafic de la blockchain semble souvent légitime pour les logiciels de sécurité. Les méthodes de détection traditionnelles ont du mal à faire la différence entre les opérations normales des contrats intelligents et celles à des fins malveillantes.
Les faux bots de trading servent de vecteur d'attaque principal
Les packages malveillants faisaient partie d'une campagne de déception plus large menée via des dépôts GitHub. Les attaquants ont créé de faux projets de bots de trading de crypto-monnaies avec des historiques de commits fabriqués, plusieurs faux comptes de mainteneurs, et une documentation professionnelle conçue pour attirer les développeurs.
Ces dépôts étaient conçus pour paraître dignes de confiance tout en servant de mécanismes de livraison pour les installations de logiciels malveillants. La sophistication des faux projets montre jusqu'où les cybercriminels iront pour établir leur crédibilité avant de lancer des attaques.
Les analystes en sécurité ont identifié cette combinaison de stockage de commandes basé sur la blockchain et d'ingénierie sociale comme une escalade significative de la complexité des attaques. L'approche rend la détection beaucoup plus difficile pour les équipes de cybersécurité qui doivent désormais surveiller à la fois les vecteurs d'attaque traditionnels et les communications basées sur la blockchain.
La campagne visant le Node Package Manager représente juste un aspect d'une tendance plus large touchant les communautés de développement open-source. Les attaquants ciblent spécifiquement ces environnements car les développeurs installent souvent des packages sans effectuer de vérifications de sécurité approfondies.
Attaques précédentes basées sur la blockchain ciblant des projets de crypto-monnaie
Ethereum n'est pas le seul réseau blockchain exploité à des fins de distribution de logiciels malveillants. Plus tôt cette année, le groupe Lazarus, lié à la Corée du Nord, a déployé des logiciels malveillants qui utilisaient également des contrats Ethereum, bien que leur implémentation spécifique différait de l'attaque récente de NPM.
En avril, les attaquants ont créé un dépôt GitHub frauduleux qui usurpait un projet de bot de trading Solana.
Le faux dépôt était utilisé pour distribuer des logiciels malveillants spécialement conçus pour voler les identifiants de portefeuilles de crypto-monnaies des victimes.
Un autre cas documenté impliquait "Bitcoinlib," une bibliothèque Python destinée au développement de Bitcoin. Les hackers ont ciblé cet outil de développement légitime pour des objectifs similaires de vol d'identifiants.
Le schéma montre que les cybercriminels ciblent systématiquement les outils de développement liés à la crypto-monnaie et les dépôts open-source. Ces environnements offrent des conditions idéales pour les attaques car les développeurs travaillent souvent avec de nouvelles bibliothèques de codes et outils familiers.
Comprendre la technologie des blockchain et des contrats intelligents
Les contrats intelligents sont des programmes auto-exécutants qui fonctionnent sur des réseaux blockchain comme Ethereum. Ils exécutent automatiquement des conditions prédéfinies sans nécessiter d'intervention humaine ou de supervision par des intermédiaires traditionnels.
Ces contrats stockent des données de manière permanente sur la blockchain, les rendant accessibles de n'importe où dans le monde. La nature décentralisée des réseaux blockchain signifie que la suppression de contenu malveillant devient extrêmement difficile une fois qu'il a été déployé.
Les serveurs de commande et de contrôle sont des systèmes informatiques que les cybercriminels utilisent pour communiquer avec des dispositifs infectés. En stockant les adresses de serveurs sur des réseaux blockchain, les attaquants créent des canaux de communication plus difficiles à perturber ou surveiller par les équipes de sécurité.
Réflexions finales
La découverte de commandes de logiciels malveillants cachées dans des contrats intelligents Ethereum marque une évolution significative des tactiques des cybercriminels, alors que les attaquants exploitent de plus en plus la technologie blockchain pour échapper aux systèmes de détection. Valentić a souligné que les cybercriminels cherchent constamment de nouvelles méthodes pour contourner les défenses de sécurité, avec le stockage de commandes basé sur la blockchain représentant leur toute dernière innovation pour rester en avance sur les mesures de cybersécurité.