Cibercriminosos começaram a usar Ethereum contratos inteligentes para ocultar comandos de malware, criando novos desafios para as equipes de segurança enquanto os atacantes exploram a tecnologia blockchain para evadir sistemas de detecção. A empresa de conformidade de ativos digitais ReversingLabs descobriu a técnica após analisar dois pacotes maliciosos carregados no repositório Node Package Manager em julho.
O método permite que os hackers misturem suas atividades com o tráfego legítimo da blockchain, tornando as operações maliciosas significativamente mais difíceis de identificar e bloquear.
O Que Saber:
- Dois pacotes NPM chamados "colortoolsv2" e "mimelib2" usaram contratos inteligentes de Ethereum para recuperar endereços de servidores maliciosos antes de instalar um malware de segunda fase
- Pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a criptomoedas em repositórios de código aberto apenas em 2024
- O Grupo Lazarus, vinculado à Coreia do Norte, já usou métodos similares de distribuição de malware baseados em blockchain
Novo Método de Distribuição Explora Infraestrutura Blockchain
Os pacotes identificados pela ReversingLabs pareciam legítimos, mas continham funções ocultas projetadas para extrair instruções de contratos inteligentes de Ethereum. Em vez de hospedar links maliciosos diretamente, o software atuava como um downloader que recuperava endereços para servidores de comando e controle.
Lucija Valentić, pesquisadora da ReversingLabs, disse que a hospedagem de URLs maliciosos em contratos Ethereum representou uma abordagem sem precedentes. "Isso é algo que não vimos anteriormente," afirmou Valentić, descrevendo o desenvolvimento como uma rápida evolução na forma como os atacantes contornam os sistemas de escaneamento de segurança.
A técnica se aproveita do fato de que o tráfego da blockchain frequentemente parece legítimo para o software de segurança. Os métodos tradicionais de detecção lutam para distinguir entre operações normais de contratos inteligentes e aqueles usados para fins maliciosos.
Bots de Negociação Falsos Servem Como Vetor de Ataque Primário
Os pacotes maliciosos faziam parte de uma campanha de engano mais ampla conduzida através de repositórios GitHub. Os atacantes construíram projetos falsos de bots de negociação de criptomoedas, completos com históricos de commits fabricados, múltiplas contas falsas de mantenedores e documentação profissional projetada para atrair desenvolvedores.
Esses repositórios foram criados para parecerem confiáveis, enquanto serviam como mecanismos de entrega para instalações de malware. A sofisticação dos projetos falsos demonstra os esforços dos cibercriminosos para estabelecer credibilidade antes de lançar ataques.
Analistas de segurança identificaram essa combinação de armazenamento de comandos baseado em blockchain e engenharia social como uma escalada significativa na complexidade dos ataques. A abordagem torna a detecção substancialmente mais difícil para as equipes de cibersegurança, que agora devem monitorar tanto vetores de ataque tradicionais quanto comunicações baseadas em blockchain.
A campanha focada no Node Package Manager representa apenas um aspecto de uma tendência maior que afeta as comunidades de desenvolvimento de código aberto. Os atacantes visam especificamente esses ambientes porque os desenvolvedores frequentemente instalam pacotes sem revisões de segurança aprofundadas.
Atos Baseados em Blockchain Anteriores Visam Projetos de Criptomoeda
Ethereum não é a única rede blockchain explorada para fins de distribuição de malware. No início deste ano, o Grupo Lazarus, vinculado à Coreia do Norte, implantou malware que também utilizou contratos Ethereum, embora sua implementação específica diferisse do recente ataque ao NPM.
Em abril, os atacantes criaram um repositório falso no GitHub que fingia ser um projeto de bot de negociação Solana.
O repositório falso foi usado para distribuir malware especificamente projetado para roubar credenciais de carteiras de criptomoedas das vítimas.
Outro caso documentado envolveu "Bitcoinlib," uma biblioteca Python destinada a trabalhos de desenvolvimento em Bitcoin. Os hackers visaram essa ferramenta de desenvolvimento legítima para fins semelhantes de roubo de credenciais.
O padrão mostra que os cibercriminosos consistentemente visam ferramentas de desenvolvimento relacionadas a criptomoedas e repositórios de código aberto. Esses ambientes oferecem condições ideais para ataques porque os desenvolvedores frequentemente trabalham com novas bibliotecas e ferramentas de código com as quais não estão familiarizados.
Compreendendo a Tecnologia Blockchain e de Contratos Inteligentes
Contratos inteligentes são programas autônomos que rodam em redes blockchain como o Ethereum. Eles executam automaticamente condições predeterminadas sem exigir intervenção humana ou supervisão de intermediários tradicionais.
Esses contratos armazenam dados permanentemente na blockchain, tornando-os acessíveis de qualquer lugar do mundo. A natureza descentralizada das redes de blockchain significa que a remoção de conteúdo malicioso se torna extremamente difícil uma vez que foi implantado.
Servidores de comando e controle são sistemas de computador que os cibercriminosos usam para se comunicar com dispositivos infectados. Ao armazenar endereços de servidores em redes blockchain, os atacantes criam canais de comunicação que são mais difíceis para equipes de segurança interromperem ou monitorarem.
Reflexões Finais
A descoberta de comandos de malware ocultos em contratos inteligentes de Ethereum marca uma evolução significativa nas táticas dos cibercriminosos, já que os atacantes cada vez mais exploram a tecnologia blockchain para evadir os sistemas de detecção. Valentić enfatizou que os cibercriminosos continuamente buscam novos métodos para contornar as defesas de segurança, com o armazenamento de comandos baseado em blockchain representando sua mais recente inovação em se manter à frente das medidas de cibersegurança.