Киберпреступники начали использовать Ethereum смарт-контракты для скрытия команд вредоносного ПО, создавая новые вызовы для команд безопасности, так как злоумышленники используют технологию блокчейна для обхода систем обнаружения. Компания по соблюдению правил цифровых активов ReversingLabs обнаружила этот метод после анализа двух вредоносных пакетов, загруженных в репозиторий Node Package Manager в июле.
Метод позволяет хакерам смешивать свои действия с легитимным трафиком блокчейна, значительно усложняя обнаружение и блокировку вредоносных операций.
Что нужно знать:
- Два пакета NPM, названные "colortoolsv2" и "mimelib2", использовали смарт-контракты Ethereum для получения адресов вредоносных серверов перед установкой вредоносного ПО второго уровня.
- Исследователи безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в открытых репозиториях в 2024 году только.
- Группа Lazarus, связанная с Северной Кореей, ранее использовала похожие методы распространения вредоносного ПО на основе блокчейна.
Новый метод распространения использует инфраструктуру блокчейна
Пакеты, идентифицированные ReversingLabs, казались легитимными, но содержали скрытые функции, предназначенные для получения инструкций из смарт-контрактов Ethereum. Вместо размещения вредоносных ссылок непосредственно, программное обеспечение действовало как загрузчики, которые получали адреса серверов командного управления.
Исследователь ReversingLabs, Лучия Валентич, заявила, что размещение вредоносных URL на контрактах Ethereum представляет собой беспрецедентный подход. "Это то, чего мы раньше не видели", - отметила Валентич, описывая развитие как быстрое эволюционирование методов обхода систем сканирования безопасности.
Техника использует тот факт, что трафик блокчейна часто кажется легитимным для программного обеспечения безопасности. Традиционные методы обнаружения с трудом различают обычные операции смарт-контрактов и те, которые используются в злонамеренных целях.
Фальшивые торговые боты служат основным вектором атаки
Вредоносные пакеты стали частью более широкой кампании обмана, проведенной через репозитории GitHub. Злоумышленники создали фальшивые проекты торговых ботов для криптовалют, полные поддельными историями коммитов, множеством поддельных учетных записей поддерживающих персонажей и профессиональной документацией, предназначенной для привлечения разработчиков.
Эти репозитории были созданы так, чтобы производить впечатление заслуживающих доверия, при этом служа механизмами доставки для установки вредоносного ПО. Сложность фальшивых проектов демонстрирует, до каких глубин пойдут киберпреступники, чтобы создать доверие перед началом атак.
Аналитики безопасности определили это сочетание хранения команд на основе блокчейна и социальной инженерии как значительное усложнение в атаке. Подход делает обнаружение существенно сложнее для команд кибербезопасности, которым теперь необходимо контролировать как традиционные векторы атак, так и коммуникации на основе блокчейна.
Кампания, нацеленная на Node Package Manager, представляет собой лишь один аспект более крупной тенденции, затрагивающей сообщества разработчиков с открытым исходным кодом. Злоумышленники специально нацеливаются на эти среды, потому что разработчики часто устанавливают пакеты, не проводя тщательных проверок безопасности.
Предыдущие атаки на основе блокчейна нацелены на криптовалютные проекты
Ethereum - не единственная сеть блокчейн, используемая для целей распространения вредоносного ПО. Ранее в этом году группа Lazarus, связанная с Северной Кореей, развернула вредоносное ПО, которое также использовало контракты Ethereum, хотя их конкретная реализация отличалась от недавней атаки NPM.
В апреле злоумышленники создали фальшивый репозиторий GitHub, который изображал проект торгового бота Solana.
Фальшивый репозиторий использовался для распространения вредоносного ПО, специально предназначенного для кражи учетных данных кошелька криптовалюты у жертв.
Другой задокументированный случай касался "Bitcoinlib", библиотеки Python, предназначенной для работы с разработкой Bitcoin. Хакеры нацелились на этот легитимный инструмент разработки для аналогичных целей кражи учетных данных.
Картина показывает, что киберпреступники постоянно нацеливаются на инструменты разработки, связанные с криптовалютой, и репозитории с открытым исходным кодом. Эти среды предоставляют идеальные условия для атак, потому что разработчики часто работают с новыми, незнакомыми библиотеками и инструментами кода.
Понимание технологии блокчейна и смарт-контрактов
Смарт-контракты - это самовыполняющиеся программы, которые работают на сетях блокчейна, таких как Ethereum. Они автоматически выполняют заранее определенные условия без необходимости человеческого вмешательства или контроля со стороны традиционных посредников.
Эти контракты сохраняют данные в блокчейне на постоянной основе, делая их доступными из любой точки мира. Децентрализованная природа сетей блокчейна означает, что удаление вредоносного контента становится чрезвычайно сложным после его развертывания.
Серверы командного управления - это компьютерные системы, которые киберпреступники используют для общения с зараженными устройствами. Сохраняя адреса серверов на сетях блокчейна, злоумышленники создают каналы связи, которые труднее для команд безопасности нарушать или отслеживать.
Заключительные мысли
Обнаружение команд вредоносного ПО, скрытых в смарт-контрактах Ethereum, знаменует значительную эволюцию в тактике киберпреступников, поскольку злоумышленники все чаще используют технологию блокчейна для обхода систем обнаружения. Валентич подчеркнула, что киберпреступники постоянно ищут новые методы обхода защитных мер, с хранением команд на основе блокчейна представляя их последнюю инновацию в стремлении опережать меры безопасности.