Criminosos cibernéticos começaram a usar Ethereum contratos inteligentes para ocultar comandos de malware, criando novos desafios para equipes de segurança, enquanto os atacantes exploram a tecnologia blockchain para escapar dos sistemas de detecção. A empresa de conformidade de ativos digitais ReversingLabs descobriu a técnica após analisar dois pacotes maliciosos carregados no repositório Node Package Manager em julho.
O método permite que hackers misturem suas atividades com tráfego legítimo de blockchain, tornando as operações maliciosas significativamente mais difíceis de identificar e bloquear.
O que Saber:
- Dois pacotes NPM chamados "colortoolsv2" e "mimelib2" usaram contratos inteligentes Ethereum para recuperar endereços de servidores maliciosos antes de instalar malware de segunda etapa
- Pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a criptografia em repositórios de código aberto só em 2024
- O Lazarus Group, vinculado à Coreia do Norte, usou anteriormente métodos semelhantes de distribuição de malware baseados em blockchain
Novo Método de Distribuição explora Infraestrutura Blockchain
Os pacotes identificados pela ReversingLabs pareciam legítimos, mas continham funções ocultas projetadas para obter instruções de contratos inteligentes Ethereum. Em vez de hospedar links maliciosos diretamente, o software atuava como downloaders que recuperavam endereços para servidores de comando e controle.
Lucija Valentić, pesquisadora da ReversingLabs, disse que a hospedagem de URLs maliciosos em contratos Ethereum representou uma abordagem sem precedentes. "Isso é algo que não tínhamos visto anteriormente", afirmou Valentić, descrevendo o desenvolvimento como uma rápida evolução na forma como os atacantes burlam os sistemas de verificação de segurança.
A técnica tira proveito do fato de que o tráfego de blockchain frequentemente parece legítimo para o software de segurança. Os métodos tradicionais de detecção encontram dificuldades para distinguir entre operações normais de contratos inteligentes e aquelas usadas para fins maliciosos.
Bots de Negociação Falsos Servem Como Principal Vetor de Ataque
Os pacotes maliciosos faziam parte de uma campanha de engano mais ampla conduzida por meio de repositórios GitHub. Os atacantes construíram projetos falsos de bots de negociação de criptomoedas completos com históricos de commits fabricados, várias contas de mantenedores falsos e documentação profissional projetada para atrair desenvolvedores.
Esses repositórios foram criados para parecer confiáveis enquanto serviam como mecanismos de entrega para instalações de malware. A sofisticação dos projetos falsos demonstra o quanto os criminosos cibernéticos estão dispostos a ir para estabelecer credibilidade antes de lançar ataques.
Analistas de segurança identificaram essa combinação de armazenamento de comandos baseados em blockchain e engenharia social como uma escalada significativa na complexidade do ataque. A abordagem torna a detecção substancialmente mais difícil para as equipes de cibersegurança, que agora devem monitorar tanto os vetores de ataque tradicionais quanto as comunicações baseadas em blockchain.
A campanha que visa o Node Package Manager representa apenas um aspecto de uma tendência maior que afeta comunidades de desenvolvimento de código aberto. Os atacantes especificamente têm como alvo esses ambientes porque os desenvolvedores frequentemente instalam pacotes sem revisões de segurança rigorosas.
Ataques Anteriores Baseados em Blockchain Visam Projetos de Criptomoedas
O Ethereum não é a única rede blockchain explorada para fins de distribuição de malware. Este ano, o Lazarus Group, vinculado à Coreia do Norte, implantou malware que também utilizou contratos Ethereum, embora sua implementação específica tenha diferido do recente ataque NPM.
Em abril, os atacantes criaram um repositório fraudulento no GitHub que personificava um projeto de bot de negociação Solana.
O repositório falso foi usado para distribuir malware especificamente projetado para roubar credenciais de carteiras de criptomoedas das vítimas.
Outro caso documentado envolveu o "Bitcoinlib", uma biblioteca Python destinada a trabalhos de desenvolvimento de Bitcoin. Hackers tiveram como alvo essa ferramenta legítima de desenvolvimento com propósitos semelhantes de roubo de credenciais.
O padrão mostra que os criminosos cibernéticos consistentemente miram ferramentas de desenvolvimento relacionadas a criptomoedas e repositórios de código aberto. Esses ambientes oferecem condições ideais para ataques porque os desenvolvedores frequentemente trabalham com novas bibliotecas de código e ferramentas desconhecidas.
Entendendo a Tecnologia Blockchain e Contrato Inteligente
Os contratos inteligentes são programas autoexecutáveis que rodam em redes blockchain como Ethereum. Eles executam automaticamente condições predeterminadas sem exigir intervenção humana ou supervisão de intermediários tradicionais.
Esses contratos armazenam dados permanentemente no blockchain, tornando-os acessíveis de qualquer parte do mundo. A natureza descentralizada das redes blockchain significa que a remoção de conteúdo malicioso se torna extremamente difícil uma vez que tenha sido implantado.
Servidores de comando e controle são sistemas de computador que os criminosos cibernéticos usam para se comunicar com dispositivos infectados. Ao armazenar endereços de servidores em redes blockchain, os atacantes criam canais de comunicação que são mais difíceis para as equipes de segurança interromperem ou monitorarem.
Pensamentos Finais
A descoberta de comandos de malware ocultos em contratos inteligentes Ethereum marca uma evolução significativa nas táticas dos criminosos cibernéticos, à medida que os atacantes exploram cada vez mais a tecnologia blockchain para escapar dos sistemas de detecção. Valentić enfatizou que os criminosos cibernéticos buscam continuamente novos métodos para contornar as defesas de segurança, com o armazenamento de comandos baseados em blockchain representando sua mais recente inovação para se manterem à frente das medidas de cibersegurança.