サイバー犯罪者はEthereum のスマートコントラクトを利用してマルウェアコマンドを 隠し、ブロックチェーン技術を利用して検出システムを 回避する新たな課題をセキュリティチームに 提出しています。デジタル資産コンプライアンス 企業のReversingLabsは、7月にNode Package Manager レポジトリにアップロードされた2つの悪意のある パッケージを分析した後、この手法を発見しました。
この方法により、ハッカーは正当なブロックチェーン トラフィックと活動を混ぜることで、悪意のある 操作を特定してブロックすることを 著しく困難にします。
知っておくべきこと:
- 「colortoolsv2」と「mimelib2」という2つのNPMパッケージは、 Ethereumスマートコントラクトを使って悪意のあるサーバー アドレスを取得し、その後に段階的なマルウェアを インストール
- セキュリティ研究者たちは2024年だけで、 オープンソースレポジトリ内で23の暗号関連 悪意のあるキャンペーンを文書化
- 北朝鮮関連のLazarus Groupはこれまでも 同様のブロックチェーンベースのマルウェア 配布方法を使用していました
ブロックチェーンインフラを悪用した
新たな配布方法
ReversingLabsによって特定 されたパッケージは正当なものでしたが、Ethereum スマートコントラクトからの指令を引き出すための 隠れた機能が含まれていました。不正なリンクを直接 ホスティングするのではなく、ソフトウェアは指令 及び制御サーバーのアドレスを取得するダウンローダー として機能しました。
ReversingLabsの研究者であるLucija Valentić氏は、 「悪意のあるURLをEthereum契約にホスティングすることは 前例のないアプローチです」と述べ、この発展をセキュリティ スキャニングシステムを回避するための手口の急速な 進化と説明しました。
この手法は、ブロックチェーントラフィックがセキュリティ ソフトウェアにとって正当と見えることを悪用しています。 従来の検出方法は、通常のスマートコントラクト操作と 悪意のある目的のものとを区別するのに苦労します。
偽のトレーディングボットが主要な攻撃手段
悪意のあるパッケージは、GitHubリポジトリを通じて 実施された広範囲にわたる欺瞞キャンペーンの一部で した。攻撃者は偽の暗号通貨トレーディングボット プロジェクトを構築し、作成したコミット履歴や複数の 偽のメンテナーアカウント、開発者を引き付けるための プロフェッショナルなドキュメントを用意しました。
これらのリポジトリは信頼できるように見えるように 作られながら、マルウェアインストールの配信メカニズムと して機能しました。偽のプロジェクトの洗練度は、 サイバー犯罪者が攻撃を開始する前にどれだけ信用を 確立しようとしているかを示しています。
セキュリティアナリストは、ブロックチェーンベースの コマンドストレージとソーシャルエンジニアリングを 組み合わせたこの手法を、攻撃の複雑さの顕著な エスカレーションとして特定しました。このアプローチは、 セキュリティチームが従来の攻撃手段と ブロックチェーンベースの通信の両方を監視しなければ ならないため、検出を著しく困難にします。
Node Package Managerを狙ったキャンペーンは、 オープンソース開発コミュニティに影響を与える 大きなトレンドの一環をなすものです。攻撃者は特に これらの環境を標的としています。開発者は通常、 徹底的なセキュリティレビューなしにパッケージを インストールするからです。
以前のブロックチェーンベースの攻撃が
暗号プロジェクトを標的に
Ethereumはマルウェア配布目的で悪用されている唯一の ブロックチェーンネットワークではありません。今年の 初め、北朝鮮と関連のあるLazarus Groupは、Ethereum コントラクトも利用したマルウェアを展開しましたが、 具体的な実装は最近のNPM攻撃とは異なっていました。
4月には、攻撃者はSolanaトレーディングボットプロジェクトを 偽装した不正なGitHubリポジトリを作成しました。
偽のリポジトリは、被害者から暗号通貨ウォレットの 認証情報を盗むように設計されたマルウェアを配布するため に使用されました。
もう一つの文書化されたケースには、Bitcoin開発作業を目的と したPythonライブラリ「Bitcoinlib」が含まれています。 ハッカーはこの正当な開発ツールを同様の認証情報盗難の 目的で標的にしました。
このパターンは、サイバー犯罪者が暗号通貨関連開発ツールと オープンソースレポジトリを一貫して標的にしていることを 示しています。これらの環境は、開発者が新しい見知らぬ コードライブラリとツールを使用するため、攻撃に最適な 状況を提供します。
ブロックチェーンとスマートコントラクト技術を理解する
スマートコントラクトは、Ethereumのようなブロックチェーン ネットワーク上で動作する自己実行型プログラムです。これらは、 従来の仲介者による介入や監視を必要とせずに、 事前に決められた条件を自動的に実行します。
これらの契約は、ブロックチェーン上にデータを永久に 保管し、世界のどこからでもアクセス可能です。ブロックチェーン ネットワークの分散型の性質のため、一度展開された 悪意のあるコンテンツを削除することは非常に困難です。
指令及び制御サーバーは、サイバー犯罪者が感染した デバイスと通信するために使用するコンピュータ システムです。サーバーアドレスをブロックチェーンネットワーク に保存することにより、攻撃者はセキュリティチームが 妨害したり監視したりするのが難しい通信チャネルを 作成します。
終わりに
Ethereumスマートコントラクトに隠されたマルウェア コマンドの発見は、サイバー犯罪の手口の大きな進化を 示しています。攻撃者はますますブロックチェーン技術を 利用して検出システムを回避しようとしています。 Valentić氏は、サイバー犯罪者が常にセキュリティ防御を 回避する新しい方法を模索しており、ブロックチェーンベースの コマンドストレージがサイバーセキュリティ対策を打ち破る 最新の革新であると強調しました。