Cibercriminosos começaram a usar Ethereum contratos inteligentes para ocultar comandos de malware, criando novos desafios para as equipes de segurança enquanto os atacantes exploram a tecnologia blockchain para escapar dos sistemas de detecção. A empresa de conformidade de ativos digitais ReversingLabs descobriu a técnica após analisar dois pacotes maliciosos enviados ao repositório Node Package Manager em julho.
O método permite que hackers misturem suas atividades com o tráfego legítimo do blockchain, tornando as operações maliciosas significativamente mais difíceis de identificar e bloquear.
O que saber:
- Dois pacotes NPM chamados "colortoolsv2" e "mimelib2" usaram contratos inteligentes Ethereum para recuperar endereços de servidores maliciosos antes de instalar malware de segunda fase
- Pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a cripto em repositórios de código aberto somente em 2024
- O Grupo Lazarus, vinculado à Coreia do Norte, usou métodos de distribuição de malware baseados em blockchain semelhantes anteriormente
Novo método de distribuição explora infraestrutura de blockchain
Os pacotes identificados pela ReversingLabs pareciam legítimos, mas continham funções ocultas projetadas para extrair instruções de contratos inteligentes Ethereum. Em vez de hospedar links maliciosos diretamente, o software agia como baixadores que recuperavam endereços para servidores de comando e controle.
Lucija Valentić, pesquisadora da ReversingLabs, disse que hospedar URLs maliciosos em contratos Ethereum representa uma abordagem sem precedentes. "Isso é algo que não vimos anteriormente," Valentić afirmou, descrevendo o desenvolvimento como uma rápida evolução em como os atacantes contornam os sistemas de varredura de segurança.
A técnica tira proveito do fato de que o tráfego do blockchain muitas vezes parece legítimo para o software de segurança. Métodos de detecção tradicionais têm dificuldade em distinguir entre operações normais de contratos inteligentes e as usadas para fins maliciosos.
Bots de negociação falsos servem como principal vetor de ataque
Os pacotes maliciosos faziam parte de uma campanha de engano mais ampla conduzida através de repositórios GitHub. Os atacantes construíram projetos falsos de bots de negociação de criptomoedas completos com históricos de commits fabricados, múltiplas contas de mantenedores falsos e documentação profissional projetada para atrair desenvolvedores.
Esses repositórios foram criados para parecer confiáveis enquanto serviam como mecanismos de entrega para instalações de malware. A sofisticação dos projetos falsos demonstra o quão longe os cibercriminosos irão para estabelecer credibilidade antes de lançar ataques.
Analistas de segurança identificaram essa combinação de armazenamento de comandos baseado em blockchain e engenharia social como uma escalada significativa na complexidade dos ataques. A abordagem torna a detecção substancialmente mais difícil para as equipes de cibersegurança que agora devem monitorar tanto os vetores de ataque tradicionais quanto as comunicações baseadas em blockchain.
A campanha visando o Node Package Manager representa apenas um aspecto de uma tendência maior que afeta as comunidades de desenvolvimento de código aberto. Os atacantes especificamente miram nesses ambientes porque os desenvolvedores frequentemente instalam pacotes sem revisões de segurança aprofundadas.
Ataques anteriores baseados em blockchain miram projetos de criptomoedas
Ethereum não é a única rede blockchain sendo explorada para fins de distribuição de malware. No início deste ano, o grupo Lazarus, vinculado à Coreia do Norte, implantou malware que também utilizava contratos Ethereum, embora sua implementação específica diferisse do recente ataque NPM.
Em abril, atacantes criaram um repositório falso do GitHub que imitava um projeto de bot de negociação Solana.
O repositório falso foi usado para distribuir malware especificamente projetado para roubar credenciais de carteiras de criptomoedas das vítimas.
Outro caso documentado envolveu "Bitcoinlib," uma biblioteca Python destinada ao trabalho de desenvolvimento do Bitcoin. Hackers visaram essa ferramenta de desenvolvimento legítima para fins semelhantes de roubo de credenciais.
O padrão mostra cibercriminosos consistentemente mirando em ferramentas de desenvolvimento relacionadas a criptomoedas e repositórios de código aberto. Esses ambientes fornecem condições ideais para ataques porque os desenvolvedores frequentemente trabalham com novas bibliotecas de código e ferramentas desconhecidas.
Compreendendo a tecnologia Blockchain e contratos inteligentes
Contratos inteligentes são programas autoexecutáveis que operam em redes blockchain como o Ethereum. Eles executam automaticamente condições predeterminadas sem necessitar de intervenção humana ou supervisão de intermediários tradicionais.
Esses contratos armazenam dados permanentemente no blockchain, tornando-os acessíveis de qualquer lugar do mundo. A natureza descentralizada das redes blockchain significa que remover conteúdos maliciosos se torna extremamente difícil uma vez que eles tenham sido implantados.
Servidores de comando e controle são sistemas de computador que cibercriminosos utilizam para se comunicar com dispositivos infectados. Ao armazenar endereços de servidores em redes blockchain, os atacantes criam canais de comunicação que são mais difíceis para as equipes de segurança interromperem ou monitorarem.
Considerações finais
A descoberta de comandos de malware ocultos em contratos inteligentes Ethereum marca uma evolução significativa nas táticas dos cibercriminosos, à medida que os atacantes exploram cada vez mais a tecnologia blockchain para escapar dos sistemas de detecção. Valentić enfatizou que os cibercriminosos buscam continuamente novos métodos para contornar as defesas de segurança, com o armazenamento de comandos baseado em blockchain representando sua última inovação para se manterem à frente das medidas de cibersegurança.