Cibercriminosos começaram a usar Ethereum contratos inteligentes para ocultar comandos de malware, criando novos desafios para equipes de segurança, pois os atacantes exploram a tecnologia de blockchain para evadir sistemas de detecção. A empresa de conformidade de ativos digitais ReversingLabs descobriu a técnica após analisar dois pacotes maliciosos carregados no repositório Node Package Manager em julho.
O método permite que hackers misturem suas atividades com o tráfego legítimo de blockchain, tornando as operações maliciosas significativamente mais difíceis de identificar e bloquear.
O que saber:
- Dois pacotes NPM chamados "colortoolsv2" e "mimelib2" usaram contratos inteligentes Ethereum para recuperar endereços de servidores maliciosos antes de instalar malware de segundo estágio
- Pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a criptomoedas em repositórios de código aberto apenas em 2024
- O Grupo Lazarus, vinculado à Coreia do Norte, já usou métodos semelhantes de distribuição de malware baseados em blockchain
Novo método de distribuição explora infraestrutura de blockchain
Os pacotes identificados pela ReversingLabs pareciam legítimos, mas continham funções ocultas projetadas para buscar instruções de contratos inteligentes Ethereum. Em vez de hospedar links maliciosos diretamente, o software atuava como downloaders que recuperavam endereços para servidores de comando e controle.
Lucija Valentić, pesquisadora da ReversingLabs, afirmou que hospedar URLs maliciosos em contratos Ethereum representa uma abordagem sem precedentes. "Isso é algo que não vimos anteriormente," disse Valentić, descrevendo o desenvolvimento como uma evolução rápida na maneira como os atacantes contornam os sistemas de verificação de segurança.
A técnica tira proveito do fato de que o tráfego de blockchain frequentemente parece legítimo para o software de segurança. Métodos tradicionais de detecção têm dificuldade em distinguir entre operações normais de contratos inteligentes e aquelas usadas para fins maliciosos.
Bots de negociação falsos servem como principal vetor de ataque
Os pacotes maliciosos faziam parte de uma campanha de engano mais ampla conduzida através de repositórios GitHub. Os atacantes criaram projetos de bots de negociação de criptomoeda falsos completos, com históricos de commit fabricados, várias contas de mantenedores falsas e documentação profissional projetada para atrair desenvolvedores.
Esses repositórios foram criados para parecerem confiáveis, servindo como mecanismos de entrega para instalações de malware. A sofisticação dos projetos falsos demonstra o esforço que os cibercriminosos farão para estabelecer credibilidade antes de lançar ataques.
Analistas de segurança identificaram esta combinação de armazenamento de comandos baseados em blockchain e engenharia social como uma escalada significativa na complexidade dos ataques. A abordagem torna a detecção substancialmente mais difícil para as equipes de cibersegurança, que agora devem monitorar tanto vetores de ataque tradicionais quanto comunicações baseadas em blockchain.
A campanha visando o Node Package Manager representa apenas um aspecto de uma tendência maior que afeta comunidades de desenvolvimento de código aberto. Os atacantes almejam especificamente esses ambientes porque os desenvolvedores frequentemente instalam pacotes sem revisões de segurança rigorosas.
Ataques anteriores baseados em blockchain miram projetos de criptomoedas
O Ethereum não é a única rede blockchain sendo explorada para fins de distribuição de malware. No início deste ano, o Grupo Lazarus, vinculado à Coreia do Norte, implantou malware que também utilizou contratos Ethereum, embora sua implementação específica fosse diferente do ataque NPM recente.
Em abril, atacantes criaram um repositório GitHub fraudulento que imitava um projeto de bot de negociação Solana.
O repositório falso foi usado para distribuir malware projetado especificamente para roubar credenciais de carteiras de criptomoedas das vítimas.
Outro caso documentado envolveu a "Bitcoinlib", uma biblioteca Python destinada a trabalhos de desenvolvimento de Bitcoin. Hackers visaram essa ferramenta de desenvolvimento legítima para fins semelhantes de roubo de credenciais.
O padrão mostra que os cibercriminosos continuamente miram ferramentas de desenvolvimento relacionadas a criptomoedas e repositórios de código aberto. Esses ambientes oferecem condições ideais para ataques, pois os desenvolvedores frequentemente trabalham com novas bibliotecas de código e ferramentas desconhecidas.
Entendendo a tecnologia Blockchain e contratos inteligentes
Contratos inteligentes são programas autoexecutáveis que rodam em redes blockchain como o Ethereum. Eles executam automaticamente condições predeterminadas sem exigir intervenção humana ou supervisão de intermediários tradicionais.
Esses contratos armazenam dados permanentemente no blockchain, tornando-os acessíveis de qualquer lugar do mundo. A natureza descentralizada das redes de blockchain significa que remover conteúdo malicioso torna-se extremamente difícil uma vez que tenha sido implantado.
Servidores de comando e controle são sistemas de computador que cibercriminosos usam para se comunicar com dispositivos infectados. Ao armazenar endereços de servidores em redes blockchain, os atacantes criam canais de comunicação que são mais difíceis para as equipes de segurança interromper ou monitorar.
Considerações finais
A descoberta de comandos de malware ocultos em contratos inteligentes Ethereum marca uma evolução significativa nas táticas dos cibercriminosos, à medida que os atacantes exploram cada vez mais a tecnologia de blockchain para evadir sistemas de detecção. Valentić enfatizou que os cibercriminosos continuamente buscam novos métodos para contornar as defesas de segurança, com o armazenamento de comandos baseado em blockchain representando sua mais recente inovação para se manter à frente das medidas de cibersegurança.