Portafoglio

Gli hacker usano i contratti intelligenti di Ethereum per nascondere i comandi di malware in un nuovo metodo di attacco

Alexey BondarevSep, 04 2025 11:03
Gli hacker usano i contratti intelligenti di Ethereum per nascondere i comandi di malware in un nuovo metodo di attacco

I criminali informatici hanno iniziato a usare Ethereum contratti intelligenti per nascondere comandi di malware, creando nuove sfide per i team di sicurezza mentre gli aggressori sfruttano la tecnologia blockchain per eludere i sistemi di rilevamento. L'azienda di conformità degli asset digitali ReversingLabs ha scoperto la tecnica dopo aver analizzato due pacchetti malevoli caricati nel repository di Gestione Pacchetti Node a luglio.

Il metodo consente agli hacker di mischiare le loro attività con il traffico blockchain legittimo, rendendo le operazioni malevole significativamente più difficili da identificare e bloccare.


Cosa sapere:

  • Due pacchetti NPM chiamati "colortoolsv2" e "mimelib2" hanno usato contratti intelligenti Ethereum per recuperare indirizzi di server malevoli prima di installare malware di seconda fase
  • I ricercatori di sicurezza hanno documentato 23 campagne malevole correlate alle criptovalute nei repository open source solo nel 2024
  • Il gruppo Lazarus, collegato alla Corea del Nord, ha in precedenza usato metodi simili di distribuzione di malware basati su blockchain

Nuovo metodo di distribuzione sfrutta l'infrastruttura blockchain

I pacchetti identificati da ReversingLabs sembravano legittimi ma contenevano funzioni nascoste progettate per recuperare istruzioni dai contratti intelligenti di Ethereum. Piuttosto che ospitare collegamenti malevoli direttamente, il software agiva come downloader che recuperavano indirizzi per i server di comando e controllo.

Lucija Valentić, ricercatrice presso ReversingLabs, ha detto che l'ospitalità di URL malevoli sui contratti di Ethereum rappresentava un approccio senza precedenti. "È qualcosa che non abbiamo visto in precedenza," ha detto Valentić, descrivendo lo sviluppo come una rapida evoluzione nel modo in cui gli aggressori bypassano i sistemi di scansione della sicurezza.

La tecnica sfrutta il fatto che il traffico blockchain appare spesso legittimo ai software di sicurezza. I metodi di rilevamento tradizionali faticano a distinguere tra le operazioni normali dei contratti intelligenti e quelle usate per scopi malevoli.

I finti bot di trading fungono da principale vettore di attacco

I pacchetti malevoli facevano parte di una più ampia campagna di inganno condotta attraverso i repository GitHub. Gli aggressori hanno costruito progetti di bot di trading di criptovalute falsi completi di storie di commit fabbricate, molteplici account di manutentori falsi e documentazione professionale progettata per attrarre sviluppatori.

Questi repository erano progettati per apparire affidabili mentre servivano come meccanismi di consegna per le installazioni di malware. La sofisticazione dei progetti falsi dimostra le lunghezze a cui i criminali informatici si spingono per stabilire la credibilità prima di lanciare attacchi.

Gli analisti di sicurezza hanno identificato questa combinazione di memorizzazione di comandi basata su blockchain e ingegneria sociale come un'escalation significativa nella complessità degli attacchi. L'approccio rende la rilevazione sostanzialmente più difficile per i team di cybersecurity che devono ora monitorare sia i vettori di attacco tradizionali che le comunicazioni basate su blockchain.

La campagna che bersaglia la Gestione Pacchetti Node rappresenta solo un aspetto di una tendenza più ampia che colpisce le comunità di sviluppo open source. Gli aggressori mirano specificamente a questi ambienti perché gli sviluppatori spesso installano pacchetti senza esami di sicurezza approfonditi.

Precedenti attacchi basati su blockchain mirano a progetti di criptovalute

Ethereum non è l'unica rete blockchain ad essere sfruttata per scopi di distribuzione di malware. Nel corso di quest'anno, il gruppo Lazarus collegato alla Corea del Nord ha distribuito malware che ha utilizzato anche contratti Ethereum, sebbene la loro specifica implementazione differisca dall'attacco NPM recente.

Ad aprile, gli aggressori hanno creato un falso repository GitHub che impersonava un progetto di bot di trading Solana.

Il falso repository è stato utilizzato per distribuire malware specificamente progettato per rubare credenziali di portafogli di criptovaluta dalle vittime.

Un altro caso documentato ha coinvolto "Bitcoinlib," una libreria Python destinata al lavoro di sviluppo Bitcoin. Gli hacker hanno preso di mira questo strumento di sviluppo legittimo per scopi simili di furto di credenziali.

Il modello mostra che i criminali informatici puntano costantemente a strumenti di sviluppo correlati alle criptovalute e repository open source. Questi ambienti forniscono condizioni ideali per gli attacchi perché gli sviluppatori lavorano spesso con nuove librerie di codice e strumenti non familiari.

Comprendere la tecnologia blockchain e dei contratti intelligenti

I contratti intelligenti sono programmi auto-eseguibili che funzionano su reti blockchain come Ethereum. Eseguono automaticamente condizioni predeterminate senza richiedere l'intervento umano o supervisione da parte di intermediari tradizionali.

Questi contratti memorizzano i dati permanentemente sulla blockchain, rendendoli accessibili da qualsiasi parte del mondo. La natura decentralizzata delle reti blockchain significa che la rimozione di contenuti malevoli diventa estremamente difficile una volta che è stato distribuito.

I server di comando e controllo sono sistemi informatici che i criminali informatici usano per comunicare con i dispositivi infetti. Memorizzando gli indirizzi dei server sulle reti blockchain, gli aggressori creano canali di comunicazione più difficili da interrompere o monitorare per i team di sicurezza.

Pensieri finali

La scoperta di comandi di malware nascosti nei contratti intelligenti di Ethereum segna un'evoluzione significativa nelle tattiche dei criminali informatici, poiché gli attaccanti sfruttano sempre più la tecnologia blockchain per eludere i sistemi di rilevamento. Valentić ha sottolineato che i criminali informatici cercano continuamente nuovi metodi per aggirare le difese di sicurezza, con l'archiviazione dei comandi basata su blockchain che rappresenta la loro ultima innovazione per stare al passo con le misure di cybersecurity.

Disclaimer: Le informazioni fornite in questo articolo sono solo a scopo educativo e non devono essere considerate consulenza finanziaria o legale. Conduci sempre la tua ricerca o consulta un professionista prima di investire in criptovalute.