Киберпреступники начали использовать Ethereum смарт-контракты для сокрытия команд вредоносного ПО, создавая новые вызовы для команд безопасности, поскольку злоумышленники внедряют технологии блокчейна, чтобы обойти системы обнаружения. Компания ReversingLabs, специализирующаяся на соблюдении требований к цифровым активам, обнаружила эту технику после анализа двух вредоносных пакетов, загруженных в репозиторий Node Package Manager в июле.
Этот метод позволяет хакерам смешивать свою деятельность с легитимным трафиком блокчейна, что значительно затрудняет идентификацию и блокировку вредоносных операций.
Что нужно знать:
- Два пакета NPM под названием «colortoolsv2» и «mimelib2» использовали смарт-контракты Ethereum для получения адресов серверов вредоносного ПО перед установкой второго этапа вредоносного ПО
- Исследователи безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в открытых репозиториях только в 2024 году
- Группа Lazarus, связанная с Северной Кореей, ранее использовала аналогичные методы распространения вредоносного ПО на основе блокчейна
Новый метод распространения использует инфраструктуру блокчейна
Пакеты, идентифицированные ReversingLabs, выглядели легитимными, но содержали скрытые функции, предназначенные для получения инструкций из смарт-контрактов Ethereum. Вместо прямого размещения вредоносных ссылок, программное обеспечение функционировало как загрузчики, которые получали адреса серверов командного управления.
Исследователь Lucija Valentić из ReversingLabs заявила, что размещение вредоносных URL на контрактах Ethereum представляет собой беспрецедентный подход. «Это то, чего мы не видели ранее», — сказала Валентић, описывая это развитие как быстрое развитие способов обхода систем сканирования безопасности.
Техника использует тот факт, что трафик блокчейна часто выглядит легитимно для программного обеспечения безопасности. Традиционные методы обнаружения затрудняются различать нормальные операции смарт-контрактов и те, которые используются для злонамеренных целей.
Поддельные торговые боты как основной вектор атаки
Вредоносные пакеты были частью более широкой кампании обмана, проводимой через репозитории на GitHub. Злоумышленники создали поддельные проекты криптовалютных торговых ботов с фальсифицированной историей коммитов, множеством поддельных учетных записей мейнтейнеров и профессиональной документацией, предназначенной для привлечения разработчиков.
Эти репозитории были сделаны так, чтобы выглядеть надежными, но при этом служили механизмами доставки для установки вредоносного ПО. Сложность поддельных проектов демонстрирует, до какой степени киберпреступники готовы пойти, чтобы установить доверие перед началом атак.
Аналитики по безопасности идентифицировали это сочетание хранения команд на блокчейне и социальной инженерии как значительное усложнение атак. Этот подход значительно затрудняет обнаружение для команд по кибербезопасности, которым теперь необходимо мониторить как традиционные векторы атак, так и коммуникации на базе блокчейна.
Кампания, нацеленная на Node Package Manager, представляет собой всего лишь один аспект более широкой тенденции, затрагивающей сообщества по разработке программного обеспечения с открытым исходным кодом. Злоумышленники специально нацеливаются на эти среды, потому что разработчики часто устанавливают пакеты без тщательных проверок безопасности.
Предыдущие атаки на основе блокчейна нацелены на проекты, связанные с криптовалютами
Ethereum не единственная блокчейн-сеть, используемая для распространения вредоносного ПО. Ранее в этом году группа Lazarus, связанная с Северной Кореей, развернула вредоносное ПО, которое также использовало контракты Ethereum, хотя их конкретная реализация отличалась от недавней атаки на NPM.
В апреле злоумышленники создали поддельный репозиторий GitHub, который изображал проект торгового бота Solana.
Поддельный репозиторий использовался для распространения вредоносного ПО, специально разработанного для кражи учетных данных криптовалютных кошельков у жертв.
Еще один задокументированный случай включал «Bitcoinlib», библиотеку Python, предназначенную для работы по разработке Bitcoin. Хакеры нацелились на этот легитимный инструмент для разработки с целью кражи учетных данных.
Паттерн показывает, что киберпреступники последовательно нацеливаются на инструменты разработки, связанные с криптовалютой, и репозитории с открытым исходным кодом. Эти среды предоставляют идеальные условия для атак, потому что разработчики часто работают с новыми, незнакомыми библиотеками и инструментами.
Понимание блокчейн- и смарт-контрактных технологий
Смарт-контракты — это самостоятельно исполняющие программы, которые работают на блокчейн-сетях, таких как Ethereum. Они автоматически выполняют заранее определенные условия без необходимости участия человека или надзора со стороны традиционных посредников.
Эти контракты хранят данные на блокчейне на постоянной основе, что делает их доступными из любой точки мира. Децентрализованный характер блокчейн-сетей означает, что удаление вредоносного контента становится крайне сложной задачей, как только он был развернут.
Командные и контрольные серверы — это компьютерные системы, которые киберпреступники используют для связи с зараженными устройствами. Храня адреса серверов на блокчейн-сетях, злоумышленники создают каналы связи, которые сложнее прервать или мониторить командам безопасности.
Заключительные мысли
Открытие вредоносных команд, скрытых в смарт-контрактах Ethereum, ознаменует значительное развитие тактики киберпреступников, поскольку злоумышленники все чаще используют технологии блокчейна для обхода систем обнаружения. Валентић подчеркнула, что киберпреступники постоянно ищут новые методы для обхода средств защиты, а хранение команд на блокчейне представляет их последнюю инновацию в стремлении оставаться впереди мер по кибербезопасности.