Cyberprzestępcy zaczęli używać Ethereum inteligentnych kontraktów do ukrywania poleceń złośliwego oprogramowania, tworząc nowe wyzwania dla zespołów bezpieczeństwa, gdy atakujący wykorzystują technologię blockchain do unikania systemów wykrywania. Firma zajmująca się zgodnością z aktywami cyfrowymi ReversingLabs odkryła tę technikę po przeanalizowaniu dwóch złośliwych pakietów przesłanych do repozytorium Node Package Manager w lipcu.
Metoda pozwala hakerom mieszać swoje działania z legalnym ruchem blockchain, co znacznie utrudnia identyfikację i blokowanie złośliwych działań.
Co warto wiedzieć:
- Dwa pakiety NPM o nazwach "colortoolsv2" i "mimelib2" używały inteligentnych kontraktów Ethereum do pobierania adresów złośliwych serwerów przed instalacją złośliwego oprogramowania drugiego etapu
- Badacze bezpieczeństwa udokumentowali 23 złośliwe kampanie związane z kryptowalutami w repozytoriach open-source w samym roku 2024
- Powiązana z Koreą Północną Grupa Lazarus wcześniej używała podobnych metod dystrybucji złośliwego oprogramowania opartych na blockchain
Nowa metoda dystrybucji wykorzystuje infrastrukturę blockchain
Pakiety zidentyfikowane przez ReversingLabs wydawały się legalne, ale zawierały ukryte funkcje zaprojektowane do pobierania instrukcji z inteligentnych kontraktów Ethereum. Zamiast bezpośrednio hostować złośliwe linki, oprogramowanie działało jako pobieracze, które pozyskiwały adresy na potrzeby serwerów dowodzenia i kontroli.
Lucija Valentić, badaczka w ReversingLabs, powiedziała, że hostowanie złośliwych adresów URL na kontraktach Ethereum stanowiło bezprecedensowe podejście. "To coś, czego wcześniej nie widzieliśmy," stwierdziła Valentić, opisując rozwój jako szybki postęp w sposobach, w jakie atakujący obchodzą systemy skanowania bezpieczeństwa.
Technika wykorzystuje fakt, że ruch blockchain często wydaje się legalny dla oprogramowania bezpieczeństwa. Tradycyjne metody wykrywania mają trudności z rozróżnieniem między normalnymi operacjami kontraktów inteligentnych a tymi używanymi do złośliwych celów.
Fałszywe boty handlowe jako główny wektor ataku
Złośliwe pakiety stanowiły część szerszej kampanii dezinformacyjnej prowadzonej przez repozytoria GitHub. Atakujący budowali fałszywe projekty botów handlu kryptowalutami z kompletnymi fałszywymi historiami commitów, wieloma fałszywymi kontami opiekunów oraz profesjonalną dokumentacją zaprojektowaną, by przyciągnąć deweloperów.
Te repozytoria zostały opracowane, by wyglądać na godne zaufania, jednocześnie służąc jako mechanizmy dostarczania złośliwego oprogramowania. Wyrafinowanie fałszywych projektów pokazuje, jak daleko cyberprzestępcy są gotowi się posunąć, by zyskać wiarygodność przed uruchomieniem ataków.
Analitycy bezpieczeństwa zidentyfikowali to połączenie przechowywania poleceń opartych na blockchainie i inżynierii społecznej jako znaczące zwiększenie złożoności ataku. Podejście to znacząco utrudnia wykrycie dla zespołów do spraw cyberbezpieczeństwa, które teraz muszą monitorować zarówno tradycyjne wektory ataków, jak i komunikację opartą na blockchainie.
Kampania wymierzona w Node Package Manager reprezentuje tylko jeden aspekt większego trendu wpływającego na społeczności deweloperów open-source. Atakujący specyficznie celują w te środowiska, ponieważ deweloperzy często instalują pakiety bez dokładnych przeglądów bezpieczeństwa.
Poprzednie ataki oparte na blockchainie celują w projekty kryptowalutowe
Ethereum nie jest jedyną siecią blockchain wykorzystywaną do celów dystrybucji złośliwego oprogramowania. Wcześniej w tym roku grupa Lazarus powiązana z Koreą Północną wprowadziła oprogramowanie złośliwe, które również wykorzystywało kontrakty Ethereum, choć ich konkretny sposób wdrożenia różnił się od niedawnego ataku NPM.
W kwietniu atakujący stworzyli fałszywe repozytorium GitHub imitujące projekt bota handlowego Solana.
Fałszywe repozytorium było używane do dystrybucji złośliwego oprogramowania specjalnie zaprojektowanego do kradzieży poświadczeń portfeli kryptowalutowych od ofiar.
Inny udokumentowany przypadek dotyczył "Bitcoinlib," biblioteki Pythona przeznaczonej do pracy nad rozwojem Bitcoina. Hakerzy wymierzyli ten legalny instrument rozwojowy w podobnych celach kradzieży poświadczeń.
Wzorzec pokazuje, że cyberprzestępcy konsekwentnie atakują narzędzia rozwojowe związane z kryptowalutami i repozytoria open-source. Te środowiska zapewniają idealne warunki do ataków, ponieważ deweloperzy często pracują z nowymi, nieznanymi bibliotekami kodu i narzędziami.
Zrozumienie technologii blockchain i inteligentnych kontraktów
Inteligentne kontrakty to samoistnie wykonujące się programy, które działają na sieciach blockchain, takich jak Ethereum. Automatycznie wykonują z góry określone warunki, nie wymagając ludzkiej interwencji ani nadzoru ze strony tradycyjnych pośredników.
Te kontrakty przechowują dane na stałe w blockchainie, czyniąc je dostępnymi z dowolnego miejsca na świecie. Zdecentralizowana natura sieci blockchain oznacza, że usunięcie złośliwych treści staje się niezwykle trudne, gdy zostaną one wdrożone.
Serwery dowodzenia i kontroli to systemy komputerowe, których cyberprzestępcy używają do komunikacji z zainfekowanymi urządzeniami. Przechowując adresy serwerów na sieciach blockchain, atakujący tworzą kanały komunikacyjne, które są trudniejsze do zaburzenia lub monitorowania przez zespoły bezpieczeństwa.
Końcowe myśli
Odkrycie poleceń złośliwego oprogramowania ukrytych w inteligentnych kontraktach Ethereum oznacza znaczącą ewolucję taktyk cyberprzestępców, gdy atakujący coraz częściej wykorzystują technologię blockchain do unikania systemów wykrywania. Valentić podkreśliła, że cyberprzestępcy nieustannie poszukują nowych metod obejścia systemów obrony, przy czym przechowywanie poleceń opartych na blockchainie reprezentuje ich najnowszą innowację w utrzymywaniu się przed środkami cyberbezpieczeństwa.