อาชญากรไซเบอร์เริ่มใช้ Ethereum สัญญาอัจฉริยะเพื่อซ่อนคำสั่งมัลแวร์ สร้างความท้าทายใหม่ให้กับทีมความปลอดภัยเมื่อผู้โจมตีใช้ประโยชน์จากเทคโนโลยีบล็อกเชนเพื่อหลบเลี่ยงระบบตรวจจับ บริษัทความปลอดภัยดิจิทัล ReversingLabs ค้นพบเทคนิคนี้หลังจากวิเคราะห์แพ็กเกจที่เป็นอันตรายสองชุดที่อัพโหลดไปยังคลัง Node Package Manager ในเดือนกรกฎาคม
วิธีนี้ทำให้แฮกเกอร์สามารถผสานการดำเนินการของตนกับทราฟฟิกบล็อกเชนที่ถูกกฎหมาย ทำให้การดำเนินการอันตรายยิ่งยากต่อการระบุตัวและบล็อก
สิ่งที่ควรรู้:
- สองแพ็กเกจ NPM ที่ชื่อ "colortoolsv2" และ "mimelib2" ใช้สัญญาอัจฉริยะ Ethereum เพื่อนำที่อยู่เซิร์ฟเวอร์ที่เป็นอันตรายก่อนที่จะติดตั้งมัลแวร์ขั้นที่สอง
- นักวิจัยความปลอดภัยบันทึกการรณรงค์ที่เกี่ยวข้องกับคริปโต 23 กรณีในแหล่งโอเพนซอร์สในปี 2024 เพียงปีเดียว
- กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือเคยใช้วิธีการแจกจ่ายมัลแวร์ที่ใช้บล็อกเชนลักษณะคล้ายกันมาก่อน
วิธีการแจกจ่ายใหม่ที่ใช้อินฟราสตรักเจอร์บล็อกเชน
แพ็กเกจที่ ระบุ โดย ReversingLabs ดูเหมือนถูกต้องตามกฎหมายแต่มีฟังก์ชันที่ซ่อนอยู่เพื่อดึงคำแนะนำจากสัญญาอัจฉริยะ Ethereum แทนที่จะโฮสต์ลิงก์ที่เป็นอันตรายโดยตรง ซอฟต์แวร์ทำหน้าที่เป็นดาวน์โหลดที่ดึงที่อยู่สำหรับเซิร์ฟเวอร์คำสั่งควบคุม
ลูเซีย วาเลนติค นักวิจัยที่ ReversingLabs กล่าวว่าการโฮสต์ URL ที่เป็นอันตรายบนสัญญา Ethereum แสดงว่ามีวิธีการที่ไม่เคยเห็นมาก่อน "นั่นคือสิ่งที่เราไม่เคยเห็นมาก่อน" วาเลนติคกล่าว พร้อมอธิบายถึงการพัฒนาที่อย่างรวดเร็วในการที่ผู้โจมตีหลบเลี่ยงระบบการตรวจจับ
เทคนิคนี้ใช้งานประโยชน์จากข้อเท็จจริงที่ว่าทราฟฟิกบล็อกเชนมักจะดูเหมือนเป็นปกติต่อซอฟต์แวร์ความปลอดภัย วิธีการตรวจจับแบบดั้งเดิมประสบปัญหาในการแยกแยะแต่ละการดำเนินการของสัญญาอัจฉริยะปกติและการดำเนินการที่ใช้ในวัตถุประสงค์อันตราย
บอตซื้อขายปลอมเป็นเวคเตอร์โจมตีหลัก
แพ็กเกจที่เป็นอันตรายเป็นส่วนหนึ่งของแคมเปญการหลอกลวงที่กว้างขวางโดยดำเนินผ่านแหล่งที่มา GitHub ผู้โจมตีสร้างโครงการบอตซื้อขายคริปโตปลอมพร้อมคำประวัติการส่งต่อปลอม บัญชีผู้บำรุงปลอมหลายบัญชี และเอกสารประกอบที่ออกแบบให้ดึงดูดนักพัฒนา
แหล่งที่มาเหล่านี้ถูกสร้างขึ้นให้ดูน่าเชื่อถือขณะทำหน้าที่เป็นกลไกการส่งต่อการติดตั้งมัลแวร์ ความซับซ้อนของโครงการปลอมแสดงถึงความพยายามในการสร้างความน่าเชื่อถือก่อนการโจมตีของอาชญากรไซเบอร์
นักวิเคราะห์ความปลอดภัยระบุว่าการผสมผสานระหว่างการจัดเก็บคำสั่งในบล็อกเชนและการหลอกลวงทางสังคมนี้เป็นการยกระดับความซับซ้อนในการโจมตีอย่างมาก วิธีการเช่นนี้ทำให้การตรวจจับเป็นเรื่องยากสำหรับทีมความปลอดภัยทางไซเบอร์ที่บัดนี้ต้องตรวจสอบทั้งเวคเตอร์โจมตีแบบดั้งเดิมและการติดต่อสื่อสารผ่านบล็อกเชน
แคมเปญที่โจมตี Node Package Manager เป็นเพียงแง่มุมหนึ่งของแนวโน้มที่ใหญ่ขึ้นที่ส่งผลต่อชุมชนนักพัฒนาโอเพนซอร์ส ผู้โจมตีมักจะเจาะแนวกั้นในสภาพแวดล้อมเหล่านี้เพราะนักพัฒนามักจะติดตั้งแพ็กเกจโดยไม่ได้ทำการรีวิวความปลอดภัยอย่างละเอียด
การโจมตีที่ใช้บล็อกเชนครั้งก่อนที่โจมตีโครงการคริปโตเคอเรนซี
Ethereum ไม่ได้เป็นเครือข่ายบล็อกเชนเพียงแห่งเดียวที่ถูกใช้ในการแจกจ่ายมัลแวร์ ปีนี้ กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือได้ใช้มัลแวร์ที่ใช้สัญญา Ethereum เช่นกัน แม้ว่าการใช้งานของพวกเขาจะแตกต่างจากการโจมตี NPM ล่าสุด
ในเดือนเมษายน ผู้โจมตีสร้างโครงการ GitHub หลอกที่แอบอ้างเป็นโครงการบอตซื้อขาย Solana
ที่เก็บข้อมูลหลอกถูกใช้ในการแจกจ่ายมัลแวร์ที่ออกแบบเฉพาะเจาะจงเพื่อขโมยข้อมูลรับรหัสผ่านกระเป๋าคริปโตจากเหยื่อ
อีกกรณีที่บันทึกไว้เกี่ยวข้องกับ "Bitcoinlib" ห้องสมุด Python เพื่อการพัฒนางาน Bitcoin แฮกเกอร์ได้โจมตีเครื่องมือการพัฒนาที่ถูกต้องตามกฎหมายนี้เพื่อจุดประสงค์ในการขโมยรหัสผ่านเช่นเดียวกัน
รูปแบบนี้แสดงถึงว่าอาชญากรไซเบอร์ได้นำเป้าหมายไปที่เครื่องมือการพัฒนาที่เกี่ยวข้องกับคริปโตเคอเรนซีและแหล่งที่มาโอเพนซอร์สเหล่านี้สภาพแวดล้อมเหมาะสมอย่างยิ่งสำหรับการโจมตีเนื่องจากนักพัฒนามักทำงานกับไลบรารีโค้ดและเครื่องมือใหม่ที่ไม่คุ้นเคย
ทำความเข้าใจบล็อกเชนและเทคโนโลยีสัญญาอัจฉริยะ
สัญญาอัจฉริยะคือโปรแกรมที่สามารถทำงานเองบนเครือข่ายบล็อกเชนอย่าง Ethereum มันทำงานตามเงื่อนไขที่กำหนดไว้ล่วงหน้าโดยไม่ต้องการการแทรกแซงหรือการควบคุมของมนุษย์จากตัวกลางดั้งเดิม
สัญญาเหล่านี้เก็บข้อมูลถาวรบนบล็อกเชน ทำให้สามารถเริ่มเข้าถึงได้จากที่ใดก็ได้ในโลก ธรรมชาติการกระจายของเครือข่ายบล็อกเชนหมายความว่าการนำเนื้อหาที่เป็นอันตรายออกนั้นกลายเป็นเรื่องที่ยากยิ่งหลังจากที่มันได้รับการเผยแพร่
เซิร์ฟเวอร์คำสั่งควบคุมคอมพิวเตอร์ที่อาชญากรไซเบอร์ใช้ในการติดต่อสื่อสารกับอุปกรณ์ที่ถูกติดเชื้อ การเก็บที่อยู่เซิร์ฟเวอร์เหล่านี้บนเครือข่ายบล็อกเชน ช่วยให้ผู้โจมตีสร้างช่องทางการสื่อสารที่ยากต่อการบุกเบิกหรือตรวจสอบ
บทความปิดท้าย
การค้นพบของคำสั่งมัลแวร์ที่ซ่อนอยู่ในสัญญาอัจฉริยะของ Ethereum ถือเป็นการพัฒนาที่สำคัญในกลยุทธ์ของอาชญากรไซเบอร์ ขณะที่ผู้โจมตีเพิ่มการใช้เทคโนโลยีบล็อกเชนเพื่อหลบเลี่ยงระบบตรวจจับ วาเลนติคเน้นว่าอาชญากรไซเบอร์ยังคงมองหาวิธีใหม่ ๆ เพื่อหลีกเลี่ยงการป้องกันความปลอดภัย โดยการเก็บคำสั่งในบล็อกเชนเป็นนวัตกรรมล่าสุดในการรับมือกับมาตรการความปลอดภัย