Cybercriminelen zijn begonnen met het gebruik van Ethereum smart contracts om malware-commando's te verbergen, wat nieuwe uitdagingen creëert voor beveiligingsteams aangezien aanvallers blockchain-technologie uitbuiten om detectiesystemen te omzeilen. Digitaal activacompliancebedrijf ReversingLabs ontdekte de techniek na het analyseren van twee kwaadaardige pakketten die in juli zijn geüpload naar de Node Package Manager-repository.
De methode stelt hackers in staat om hun activiteiten te vermengen met legitiem blockchain-verkeer, waardoor kwaadaardige operaties aanzienlijk moeilijker identificeerbaar en blokkeerbaar worden.
Wat te weten:
- Twee NPM-pakketten genaamd "colortoolsv2" en "mimelib2" gebruikten Ethereum smart contracts om kwaadaardige serveradressen op te halen voordat ze malware in de tweede fase installeerden
- Beveiligingsonderzoekers documenteerden alleen al in 2024 23 kwaadaardige crypto-gerelateerde campagnes in open-source repositories
- De aan Noord-Korea gelinkte Lazarus Group heeft eerder soortgelijke blockchain-gebaseerde malware-distributiemethoden gebruikt
Nieuwe distributiemethode exploiteert blockchain-infrastructuur
De pakketten geïdentificeerd door ReversingLabs leken legitiem maar bevatten verborgen functies die ontworpen waren om instructies op te halen uit Ethereum smart contracts. In plaats van kwaadaardige links direct te hosten, fungeerde de software als downloaders die adressen voor command-and-control-servers ophaalden.
Lucija Valentić, onderzoeker bij ReversingLabs, zei dat het hosten van kwaadaardige URL's op Ethereum-contracten een ongekende benadering vertegenwoordigt. "Dat is iets wat we niet eerder hebben gezien," verklaarde Valentić, en beschreef de ontwikkeling als een snelle evolutie in hoe aanvallers beveiligingsscansystemen omzeilen.
De techniek maakt gebruik van het feit dat blockchain-verkeer vaak legitiem lijkt voor beveiligingssoftware. Traditionele detectiemethoden hebben moeite om een onderscheid te maken tussen normale smart contract-operaties en die welke voor kwaadaardige doeleinden worden gebruikt.
Valse handelsbots dienen als primaire aanvalsvector
De kwaadaardige pakketten maakten deel uit van een bredere misleidingscampagne die werd uitgevoerd via GitHub-repositories. Aanvallers construeerden valse cryptocurrency-handelsbotprojecten die compleet waren met verzonnen commithistorieken, meerdere valse beheeraccounts en professionele documentatie ontworpen om ontwikkelaars aan te trekken.
Deze repositories waren zorgvuldig vervaardigd om betrouwbaar over te komen terwijl ze als leveringsmechanismen voor malware-installaties dienen. De verfijning van de valse projecten toont de inspanningen van cybercriminelen om geloofwaardigheid op te bouwen voordat ze aanvallen lanceren.
Beveiligingsanalisten hebben deze combinatie van blockchain-gebaseerde commandoplaatsing en social engineering geïdentificeerd als een aanzienlijke escalatie in de complexiteit van aanvallen. De benadering maakt detectie aanzienlijk moeilijker voor cybersecurity teams die nu zowel traditionele aanvalsvectoren als blockchain-gebaseerde communicatie moeten monitoren.
De campagne die zich richt op Node Package Manager vertegenwoordigt slechts één aspect van een grotere trend die open-sourceontwikkelingsgemeenschappen treft. Aanvallers richten zich specifiek op deze omgevingen omdat ontwikkelaars vaak pakketten installeren zonder grondige veiligheidsbeoordelingen.
Eerdere blockchain-gebaseerde aanvallen richten zich op cryptocurrency-projecten
Ethereum is niet het enige blockchain-netwerk dat wordt uitgebuit voor doeleinden van malwaredistributie. Eerder dit jaar lanceerde de aan Noord-Korea gelinkte Lazarus Group malware die ook gebruik maakte van Ethereum-contracten, hoewel hun specifieke implementatie verschilde van de recente NPM-aanval.
In april maakten aanvallers een frauduleuze GitHub-repository aan die een Solana-handelsbotproject imiteerde.
De valse repository werd gebruikt om malware te verspreiden die specifiek was ontworpen om cryptocurrency wallet-gegevens van slachtoffers te stelen.
Een ander gedocumenteerd geval betrof "Bitcoinlib," een Python-bibliotheek die bedoeld is voor Bitcoin-ontwikkelingswerk. Hackers richtten zich op dit legitieme onderdeel voor soortgelijke doeleinden van gegevensdiefstal.
Het patroon toont aan dat cybercriminelen consequent gerichte cryptocurrency-gerelateerde ontwikkelingshulpmiddelen en open-source repositories aanvallen. Deze omgevingen bieden ideale omstandigheden voor aanvallen omdat ontwikkelaars vaak werken met nieuwe, onbekende codelibraries en -tools.
Begrip van blockchain- en smartcontracttechnologie
Smart contracts zijn zelfuitvoerende programma's die draaien op blockchain-netwerken zoals Ethereum. Ze voeren automatisch vooraf bepaalde voorwaarden uit zonder dat menselijke tussenkomst of toezicht van traditionele tussenpersonen nodig is.
Deze contracten slaan gegevens permanent op de blockchain op, waardoor ze overal ter wereld toegankelijk zijn. De gedecentraliseerde aard van blockchain-netwerken betekent dat het verwijderen van kwaadaardige inhoud buitengewoon moeilijk wordt zodra het is geïmplementeerd.
Command-and-control-servers zijn computersystemen die cybercriminelen gebruiken om te communiceren met geïnfecteerde apparaten. Door serveradressen op blockchain-netwerken op te slaan, creëren aanvallers communicatiekanalen die moeilijker voor beveiligingsteams te verstoren of te monitoren zijn.
Afsluitende gedachten
De ontdekking van malware-commando's die verborgen zijn in Ethereum smart contracts markeert een belangrijke evolutie in de tactieken van cybercriminelen, terwijl aanvallers steeds meer gebruik maken van blockchain-technologie om detectiesystemen te omzeilen. Valentić benadrukte dat cybercriminelen voortdurend op zoek zijn naar nieuwe methoden om beveiligingsverdedigingen te omzeilen, waarbij blockchain-gebaseerde commandoplaatsing hun laatste innovatie vertegenwoordigt om voorop te blijven lopen in de strijd tegen cyberdreigingen.