Cyberprzestępcy zaczęli używać Ethereum do ukrywania poleceń złośliwego oprogramowania, tworząc nowe wyzwania dla zespołów bezpieczeństwa, gdyż atakujący wykorzystują technologię blockchain do unikania systemów wykrywania. Firma ReversingLabs zajmująca się zgodnością aktywów cyfrowych odkryła tę technikę po analizie dwóch złośliwych pakietów przesłanych do repozytorium Node Package Manager w lipcu.
Metoda ta pozwala hakerom mieszać swoje działania z legalnym ruchem blockchain, co znacznie utrudnia identyfikację i blokowanie działań złośliwych.
Co należy wiedzieć:
- Dwa pakiety NPM o nazwach "colortoolsv2" i "mimelib2" używały inteligentnych kontraktów Ethereum do pobierania złośliwych adresów serwerów przed instalacją złośliwego oprogramowania drugiego etapu
- Badacze bezpieczeństwa udokumentowali 23 kampanie związane z kryptowalutami na otwartych repozytoriach w 2024 roku
- Grupa Lazarus, powiązana z Koreą Północną, wcześniej używała podobnych metod dystrybucji złośliwego oprogramowania opartych na blockchainie
Nowa Metoda Dystrybucji Wykorzystuje Infrastrukturę Blockchain
Pakiety zidentyfikowane przez ReversingLabs wyglądały na legalne, ale zawierały ukryte funkcje zaprojektowane do pobierania instrukcji z inteligentnych kontraktów Ethereum. Zamiast hostować złośliwe linki bezpośrednio, oprogramowanie działało jako downloader, który pobierał adresy dla serwerów command-and-control.
Lucija Valentić, badaczka w ReversingLabs, powiedziała, że hosting złośliwych adresów URL na kontraktach Ethereum reprezentował bezprecedensowe podejście. "To jest coś, czego wcześniej nie widzieliśmy," stwierdziła Valentić, opisując rozwój jako szybki postęp w tym, jak atakujący omijają systemy skanowania bezpieczeństwa.
Technika ta wykorzystuje fakt, że ruch blockchain często wygląda na legalny dla oprogramowania bezpieczeństwa. Tradycyjne metody wykrywania mają trudność z rozróżnieniem między normalnymi operacjami inteligentnych kontraktów a tymi używanymi do celów złośliwych.
Fałszywe Boty Handlowe Służą Jako Główny Wektor Ataku
Złośliwe pakiety były częścią szerszej kampanii oszustwa prowadzonej przez repozytoria GitHub. Atakujący skonstruowali fałszywe projekty botów handlowych opartych na kryptowalutach, kompletne z sfabrykowaną historią commitów, wieloma fałszywymi kontami opiekunów i profesjonalną dokumentacją zaprojektowaną, aby przyciągnąć deweloperów.
Te repozytoria zostały stworzone, aby wyglądały na godne zaufania, jednocześnie służąc jako mechanizmy dostarczania złośliwych instalacji. Wyrafinowanie fałszywych projektów pokazuje, jak daleko posuną się cyberprzestępcy, aby zdobyć wiarygodność przed rozpoczęciem ataków.
Analitycy bezpieczeństwa zidentyfikowali to połączenie przechowywania poleceń w technologii blockchain i inżynierii społecznej jako znaczną eskalację złożoności ataków. Podejście to czyni wykrywanie znacznie trudniejszym dla zespołów cyberbezpieczeństwa, które muszą teraz monitorować zarówno tradycyjne wektory ataków, jak i komunikacje oparte na blockchainie.
Kampania wymierzona w Node Package Manager reprezentuje tylko jeden aspekt większego trendu wpływającego na społeczności rozwoju open-source. Atakujący celują w te środowiska, ponieważ deweloperzy często instalują pakiety bez dokładnych przeglądów bezpieczeństwa.
Poprzednie Ataki Blockchain Wymierzone W Projekty Kryptowalutowe
Ethereum nie jest jedyną siecią blockchain wykorzystywaną do dystrybucji złośliwego oprogramowania. Wcześniej w tym roku, grupa Lazarus, powiązana z Koreą Północną, wdrożyła złośliwe oprogramowanie, które także wykorzystało kontrakty Ethereum, chociaż ich konkretna implementacja różniła się od recent ataku na NPM.
W kwietniu atakujący stworzyli fałszywe repozytorium GitHub, które podszywało się pod projekt bota handlowego Solana.
Fałszywe repozytorium zostało użyte do dystrybucji złośliwego oprogramowania specjalnie zaprojektowanego do kradzieży danych uwierzytelnienia portfeli kryptowalutowych ofiar.
Inny udokumentowany przypadek dotyczył "Bitcoinlib", biblioteki Pythona przeznaczonej do pracy nad rozwojem Bitcoin. Hakerzy ukierunkowali to legalne narzędzie rozwoju do podobnych celów kradzieży danych uwierzytelniających.
Wzór pokazuje, że cyberprzestępcy konsekwentnie celują w narzędzia rozwoju związane z kryptowalutami i repozytoria open-source. Te środowiska zapewniają idealne warunki dla ataków, ponieważ deweloperzy często pracują z nowymi, nieznanymi bibliotekami kodu i narzędziami.
Zrozumienie Technologii Blockchain i Inteligentnych Kontraktów
Inteligentne kontrakty to samowykonujące się programy działające na sieciach blockchain, takich jak Ethereum. Automatycznie wykonują one określone warunki bez potrzeby interwencji człowieka lub nadzoru ze strony tradycyjnych pośredników.
Te kontrakty przechowują dane trwale na blockchainie, czyniąc je dostępnymi z dowolnego miejsca na świecie. Zdecentralizowany charakter sieci blockchain oznacza, że usunięcie złośliwej treści staje się niezwykle trudne po jej wdrożeniu.
Serwery command-and-control to systemy komputerowe, których cyberprzestępcy używają do komunikacji z zainfekowanymi urządzeniami. Dzięki przechowywaniu adresów serwerów na sieciach blockchain, atakujący tworzą kanały komunikacyjne trudniejsze do zakłócenia lub monitorowania przez zespoły bezpieczeństwa.
Końcowe Myśli
Odkrycie poleceń złośliwego oprogramowania ukrytych w inteligentnych kontraktach Ethereum oznacza znaczną ewolucję w taktykach cyberprzestępców, gdy atakujący coraz częściej wykorzystują technologię blockchain do omijania systemów wykrywania. Valentić podkreśliła, że cyberprzestępcy nieustannie poszukują nowych metod, aby obejść zabezpieczenia, a przechowywanie poleceń w technologii blockchain reprezentuje ich najnowszą innowację, aby wyprzedzać środki bezpieczeństwa.