サイバー犯罪者がイーサリアムスマートコントラクトを利用してマルウェアのコマンドを隠し、攻撃者がブロックチェーン技術を悪用して検出システムを回避するための新たな課題をセキュリティチームに提示しています。デジタル資産コンプライアンス企業ReversingLabsは、7月にNode Package Managerリポジトリにアップロードされた2つの悪意のあるパッケージを分析した結果、この手法を発見しました。
この方法により、ハッカーは活動を正規のブロックチェーントラフィックと融合させ、悪意のある操作を特定しブロックすることが非常に難しくなります。
知っておくべきこと:
- 「colortoolsv2」と「mimelib2」という2つのNPMパッケージはイーサリアムスマートコントラクトを使用して悪意のあるサーバーアドレスを取得し、第二段階のマルウェアをインストールする前に悪用されました
- セキュリティ研究者は、2024年だけでオープンソースリポジトリ内で記録された23の暗号通貨関連の悪意のあるキャンペーンを記録しています
- 北朝鮮に関連するラザルスグループは、以前にも同様のブロックチェーンベースのマルウェア配布方法を使用したことがあります
ブロックチェーンインフラを悪用する新しい配布方法
ReversingLabsによって識別されたパッケージは正規のものでしたが、イーサリアムスマートコントラクトから指示を引き出すように設計された隠れた機能を含んでいました。悪意のあるリンクを直接ホスティングするのではなく、ソフトウェアはダウンローダーとして機能し、コマンドアンドコントロールサーバーのアドレスを取得しました。
ReversingLabsの研究者であるルシア・ヴァレンティッチは、イーサリアム契約に悪意のあるURLをホスティングすることは前例のないアプローチだと述べました。「これは以前には見たことがありませんでした」と述べ、攻撃者がセキュリティスキャンシステムを回避する方法の急速な進化として評価しました。
この手法は、ブロックチェーントラフィックが通常、セキュリティソフトウェアにとって正規のものと見なされる事実を利用します。従来の検出方法は、通常のスマートコントラクト操作と悪意ある目的で使用される操作を区別するのに苦労します。
偽のトレーディングボットが主な攻撃ベクトルとして機能
恶意のあるパッケージは、GitHubリポジトリを通じて遂行される広範な欺瞞キャンペーンの一部を形成しました。攻撃者は、偽の暗号通貨トレーディングボットプロジェクトを構築し、虚偽のコミット履歴、複数の仮のメンテナーアカウント、および開発者を引き付けるために設計された専門的なドキュメントを備えていました。
これらのリポジトリは、マルウェアインストールの配信メカニズムとして機能しながら信頼できるものとして作成されました。偽プロジェクトの洗練さは、サイバー犯罪者が攻撃を開始する前に信頼性を確立するためにどれほどの努力を惜しまないかを示しています。
セキュリティアナリストは、ブロックチェーンベースのコマンドストレージとソーシャルエンジニアリングの組み合わせを、攻撃の複雑さの重要なエスカレーションとして特定しました。このアプローチは、従来の攻撃ベクトルとブロックチェーンベースの通信の両方を監視しなければならないサイバーセキュリティチームにとって、検出を著しく困難にします。
Node Package Managerをターゲットとするキャンペーンは、オープンソースの開発コミュニティに影響を与えている大きなトレンドの一側面を表しています。攻撃者はこれらの環境を特に狙っています。なぜなら、開発者はしばしば徹底的なセキュリティレビューなしでパッケージをインスコールするためです。
暗号通貨プロジェクトを狙った以前のブロックチェーンベースの攻撃
イーサリアムは、マルウェア配布目的で悪用されている唯一のブロックチェーンネットワークではありません。今年初め、北朝鮮に関連するラザルスグループがイーサリアム契約を利用したマルウェアを展開しましたが、彼らの具体的な実装は最近のNPM攻撃とは異なります。
4月に攻撃者は、Solanaトレーディングボットプロジェクトに偽装した偽のGitHubリポジトリを作成しました。
偽のリポジトリは、犠牲者から暗号通貨ウォレットの認証情報を盗むために特別に設計されたマルウェアを配布するために使用されました。
また、「Bitcoinlib」という、ビットコイン開発作業用のPythonライブラリに関連する文書化されたケースも含まれています。ハッカーは、同様の認証情報盗難の目的でこの正規の開発ツールをターゲットにしました。
このパターンは、サイバー犯罪者が一貫して暗号通貨関連の開発ツールやオープンソースリポジトリを標的にしていることを示しています。これらの環境は、開発者がしばしば新しい未熟なコードライブラリやツールを使用するため、攻撃にとって理想的な条件を提供します。
ブロックチェーンとスマートコントラクト技術の理解
スマートコントラクトは、イーサリアムのようなブロックチェーンネットワーク上で動作する自己実行型プログラムです。これらは、伝統的な仲介者の介入や人間の監視を必要とせずに、あらかじめ決められた条件を自動的に実行します。
これらの契約は、データをブロックチェーンに恒久的に保存し、世界中のどこからでもアクセス可能にします。ブロックチェーンネットワークの分散型の性質は、悪意のあるコンテンツが展開されるとその削除を非常に困難にします。
コマンドアンドコントロールサーバーは、サイバー犯罪者が感染したデバイスと通信するために使用するコンピュータシステムです。サーバーアドレスをブロックチェーンネットワークに保存することで、攻撃者はセキュリティチームが阻止または監視しづらい通信チャネルを作成します。
結論
イーサリアムスマートコントラクトに隠されたマルウェアコマンドの発見は、攻撃者がブロックチェーン技術をますます悪用して検出システムを回避する重要なサイバー犯罪戦術の進化を示しています。ヴァレンティッチは、サイバー犯罪者がセキュリティ防御を回避するための新しい方法を常に模索しており、ブロックチェーンベースの指令保存がサイバーセキュリティ措置に先んじるための最新の革新であると強調しました。