I criminali informatici hanno iniziato a utilizzare gli smart contract Ethereum per nascondere i comandi malware, creando nuove sfide per i team di sicurezza man mano che gli aggressori sfruttano la tecnologia blockchain per eludere i sistemi di rilevazione. La società di conformità di asset digitali ReversingLabs ha scoperto la tecnica dopo aver analizzato due pacchetti dannosi caricati sul repository Node Package Manager a luglio.
Il metodo consente agli hacker di mescolare le loro attività con il traffico legittimo della blockchain, rendendo significativamente più difficile identificare e bloccare le operazioni dannose.
Cosa c'è da sapere:
- Due pacchetti NPM chiamati "colortoolsv2" e "mimelib2" hanno utilizzato gli smart contract di Ethereum per recuperare indirizzi di server dannosi prima di installare malware di secondo livello
- I ricercatori di sicurezza hanno documentato 23 campagne dannose legate alle criptovalute attraverso repository open source solo nel 2024
- Il gruppo nordcoreano Lazarus ha precedentemente utilizzato metodi simili di distribuzione malware basati su blockchain
Nuovo metodo di distribuzione sfrutta l'infrastruttura della blockchain
I pacchetti identificati da ReversingLabs apparivano legittimi ma contenevano funzioni nascoste progettate per ottenere istruzioni dagli smart contract di Ethereum. Piuttosto che ospitare direttamente link malevoli, il software agiva come downloader che recuperavano indirizzi per server di comando e controllo.
Lucija Valentić, ricercatrice presso ReversingLabs, ha detto che l'hosting di URL malevoli su contratti Ethereum rappresentava un approccio senza precedenti. "È qualcosa che non abbiamo visto in passato", ha affermato Valentić, descrivendo lo sviluppo come un'evoluzione rapida nel modo in cui gli aggressori aggirano i sistemi di scansione della sicurezza.
La tecnica sfrutta il fatto che il traffico della blockchain appare spesso legittimo ai software di sicurezza. I metodi di rilevazione tradizionali faticano a distinguere tra normali operazioni di smart contract e quelle utilizzate per scopi dannosi.
Bot di trading falsi servono come vettore d'attacco principale
I pacchetti dannosi facevano parte di una più ampia campagna di inganno condotta attraverso repository GitHub. Gli aggressori hanno costruito progetti falsi di bot di trading di criptovalute completi di cronologie di commit fabbricate, più account di manutentori falsi e documentazione professionale progettata per attrarre sviluppatori.
Questi repository sono stati creati per apparire affidabili, servendo come meccanismi di consegna per installazioni di malware. La sofisticazione dei progetti falsi dimostra fino a che punto i criminali informatici andranno per stabilire la credibilità prima di lanciare attacchi.
Gli analisti della sicurezza hanno identificato questa combinazione di archiviazione di comandi basati su blockchain e ingegneria sociale come un'escalation significativa nella complessità degli attacchi. L'approccio rende il rilevamento sostanzialmente più difficile per i team di sicurezza informatica che ora devono monitorare sia i vettori di attacco tradizionali che le comunicazioni basate su blockchain.
La campagna che prende di mira Node Package Manager rappresenta solo un aspetto di una tendenza più ampia che colpisce le comunità di sviluppo open-source. Gli aggressori prendono di mira specificamente questi ambienti perché gli sviluppatori spesso installano pacchetti senza revisioni di sicurezza approfondite.
Attacchi precedenti basati su blockchain prendono di mira progetti di criptovaluta
Ethereum non è l'unica rete blockchain sfruttata per scopi di distribuzione malware. All'inizio di quest'anno, il gruppo nordcoreano Lazarus ha distribuito malware che ha utilizzato anche contratti Ethereum, sebbene la loro implementazione specifica differisse dall'attacco NPM recente.
In aprile, gli aggressori hanno creato un repository GitHub fraudolento che impersonava un progetto di bot di trading Solana.
Il repository falso è stato utilizzato per distribuire malware progettato specificamente per rubare credenziali di portafogli di criptovaluta dalle vittime.
Un altro caso documentato ha coinvolto "Bitcoinlib," una libreria Python destinata al lavoro di sviluppo Bitcoin. Gli hacker hanno preso di mira questo strumento di sviluppo legittimo per scopi simili di furto di credenziali.
Il modello mostra che i criminali informatici prendono di mira costantemente strumenti di sviluppo relativi alle criptovalute e repository open-source. Questi ambienti offrono condizioni ideali per gli attacchi perché gli sviluppatori lavorano frequentemente con nuove librerie e strumenti non familiari.
Comprendere la tecnologia della blockchain e degli smart contract
Gli smart contract sono programmi auto-eseguibili che operano su reti blockchain come Ethereum. Eseguono automaticamente condizioni predeterminate senza richiedere l'intervento umano o la supervisione di intermediari tradizionali.
Questi contratti archiviano dati permanentemente sulla blockchain, rendendoli accessibili da qualsiasi parte del mondo. La natura decentralizzata delle reti blockchain significa che rimuovere contenuti dannosi diventa estremamente difficile una volta che sono stati distribuiti.
I server di comando e controllo sono sistemi informatici che i criminali informatici usano per comunicare con dispositivi infetti. Archiviando gli indirizzi dei server sulle reti blockchain, gli aggressori creano canali di comunicazione che sono più difficili da interrompere o monitorare per i team di sicurezza.
Conclusioni finali
La scoperta dei comandi malware nascosti negli smart contract Ethereum segna un'evoluzione significativa nelle tattiche dei criminali informatici, poiché gli aggressori sfruttano sempre di più la tecnologia blockchain per eludere i sistemi di rilevazione. Valentić ha sottolineato che i criminali informatici cercano continuamente nuovi metodi per bypassare le difese di sicurezza, con l'archiviazione di comandi basata su blockchain che rappresenta la loro ultima innovazione nel mantenersi avanti rispetto alle misure di sicurezza informatica.