กระเป๋าเงิน

แฮกเกอร์ใช้สัญญาอัจฉริยะ Ethereum เพื่อซ่อนคำสั่งมัลแวร์ในวิธีการโจมตีรูปแบบใหม่

1 ชั่วโมงที่แล้ว
แฮกเกอร์ใช้สัญญาอัจฉริยะ Ethereum เพื่อซ่อนคำสั่งมัลแวร์ในวิธีการโจมตีรูปแบบใหม่

อาชญากรไซเบอร์เริ่มใช้ Ethereum สัญญาอัจฉริยะเพื่อซ่อนคำสั่งมัลแวร์ สร้างความท้าทายใหม่ให้กับทีมความปลอดภัยเมื่อผู้โจมตีใช้ประโยชน์จากเทคโนโลยีบล็อกเชนเพื่อหลบเลี่ยงระบบตรวจจับ บริษัทความปลอดภัยดิจิทัล ReversingLabs ค้นพบเทคนิคนี้หลังจากวิเคราะห์แพ็กเกจที่เป็นอันตรายสองชุดที่อัพโหลดไปยังคลัง Node Package Manager ในเดือนกรกฎาคม

วิธีนี้ทำให้แฮกเกอร์สามารถผสานการดำเนินการของตนกับทราฟฟิกบล็อกเชนที่ถูกกฎหมาย ทำให้การดำเนินการอันตรายยิ่งยากต่อการระบุตัวและบล็อก


สิ่งที่ควรรู้:

  • สองแพ็กเกจ NPM ที่ชื่อ "colortoolsv2" และ "mimelib2" ใช้สัญญาอัจฉริยะ Ethereum เพื่อนำที่อยู่เซิร์ฟเวอร์ที่เป็นอันตรายก่อนที่จะติดตั้งมัลแวร์ขั้นที่สอง
  • นักวิจัยความปลอดภัยบันทึกการรณรงค์ที่เกี่ยวข้องกับคริปโต 23 กรณีในแหล่งโอเพนซอร์สในปี 2024 เพียงปีเดียว
  • กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือเคยใช้วิธีการแจกจ่ายมัลแวร์ที่ใช้บล็อกเชนลักษณะคล้ายกันมาก่อน

วิธีการแจกจ่ายใหม่ที่ใช้อินฟราสตรักเจอร์บล็อกเชน

แพ็กเกจที่ ระบุ โดย ReversingLabs ดูเหมือนถูกต้องตามกฎหมายแต่มีฟังก์ชันที่ซ่อนอยู่เพื่อดึงคำแนะนำจากสัญญาอัจฉริยะ Ethereum แทนที่จะโฮสต์ลิงก์ที่เป็นอันตรายโดยตรง ซอฟต์แวร์ทำหน้าที่เป็นดาวน์โหลดที่ดึงที่อยู่สำหรับเซิร์ฟเวอร์คำสั่งควบคุม

ลูเซีย วาเลนติค นักวิจัยที่ ReversingLabs กล่าวว่าการโฮสต์ URL ที่เป็นอันตรายบนสัญญา Ethereum แสดงว่ามีวิธีการที่ไม่เคยเห็นมาก่อน "นั่นคือสิ่งที่เราไม่เคยเห็นมาก่อน" วาเลนติคกล่าว พร้อมอธิบายถึงการพัฒนาที่อย่างรวดเร็วในการที่ผู้โจมตีหลบเลี่ยงระบบการตรวจจับ

เทคนิคนี้ใช้งานประโยชน์จากข้อเท็จจริงที่ว่าทราฟฟิกบล็อกเชนมักจะดูเหมือนเป็นปกติต่อซอฟต์แวร์ความปลอดภัย วิธีการตรวจจับแบบดั้งเดิมประสบปัญหาในการแยกแยะแต่ละการดำเนินการของสัญญาอัจฉริยะปกติและการดำเนินการที่ใช้ในวัตถุประสงค์อันตราย

บอตซื้อขายปลอมเป็นเวคเตอร์โจมตีหลัก

แพ็กเกจที่เป็นอันตรายเป็นส่วนหนึ่งของแคมเปญการหลอกลวงที่กว้างขวางโดยดำเนินผ่านแหล่งที่มา GitHub ผู้โจมตีสร้างโครงการบอตซื้อขายคริปโตปลอมพร้อมคำประวัติการส่งต่อปลอม บัญชีผู้บำรุงปลอมหลายบัญชี และเอกสารประกอบที่ออกแบบให้ดึงดูดนักพัฒนา

แหล่งที่มาเหล่านี้ถูกสร้างขึ้นให้ดูน่าเชื่อถือขณะทำหน้าที่เป็นกลไกการส่งต่อการติดตั้งมัลแวร์ ความซับซ้อนของโครงการปลอมแสดงถึงความพยายามในการสร้างความน่าเชื่อถือก่อนการโจมตีของอาชญากรไซเบอร์

นักวิเคราะห์ความปลอดภัยระบุว่าการผสมผสานระหว่างการจัดเก็บคำสั่งในบล็อกเชนและการหลอกลวงทางสังคมนี้เป็นการยกระดับความซับซ้อนในการโจมตีอย่างมาก วิธีการเช่นนี้ทำให้การตรวจจับเป็นเรื่องยากสำหรับทีมความปลอดภัยทางไซเบอร์ที่บัดนี้ต้องตรวจสอบทั้งเวคเตอร์โจมตีแบบดั้งเดิมและการติดต่อสื่อสารผ่านบล็อกเชน

แคมเปญที่โจมตี Node Package Manager เป็นเพียงแง่มุมหนึ่งของแนวโน้มที่ใหญ่ขึ้นที่ส่งผลต่อชุมชนนักพัฒนาโอเพนซอร์ส ผู้โจมตีมักจะเจาะแนวกั้นในสภาพแวดล้อมเหล่านี้เพราะนักพัฒนามักจะติดตั้งแพ็กเกจโดยไม่ได้ทำการรีวิวความปลอดภัยอย่างละเอียด

การโจมตีที่ใช้บล็อกเชนครั้งก่อนที่โจมตีโครงการคริปโตเคอเรนซี

Ethereum ไม่ได้เป็นเครือข่ายบล็อกเชนเพียงแห่งเดียวที่ถูกใช้ในการแจกจ่ายมัลแวร์ ปีนี้ กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือได้ใช้มัลแวร์ที่ใช้สัญญา Ethereum เช่นกัน แม้ว่าการใช้งานของพวกเขาจะแตกต่างจากการโจมตี NPM ล่าสุด

ในเดือนเมษายน ผู้โจมตีสร้างโครงการ GitHub หลอกที่แอบอ้างเป็นโครงการบอตซื้อขาย Solana

ที่เก็บข้อมูลหลอกถูกใช้ในการแจกจ่ายมัลแวร์ที่ออกแบบเฉพาะเจาะจงเพื่อขโมยข้อมูลรับรหัสผ่านกระเป๋าคริปโตจากเหยื่อ

อีกกรณีที่บันทึกไว้เกี่ยวข้องกับ "Bitcoinlib" ห้องสมุด Python เพื่อการพัฒนางาน Bitcoin แฮกเกอร์ได้โจมตีเครื่องมือการพัฒนาที่ถูกต้องตามกฎหมายนี้เพื่อจุดประสงค์ในการขโมยรหัสผ่านเช่นเดียวกัน

รูปแบบนี้แสดงถึงว่าอาชญากรไซเบอร์ได้นำเป้าหมายไปที่เครื่องมือการพัฒนาที่เกี่ยวข้องกับคริปโตเคอเรนซีและแหล่งที่มาโอเพนซอร์สเหล่านี้สภาพแวดล้อมเหมาะสมอย่างยิ่งสำหรับการโจมตีเนื่องจากนักพัฒนามักทำงานกับไลบรารีโค้ดและเครื่องมือใหม่ที่ไม่คุ้นเคย

ทำความเข้าใจบล็อกเชนและเทคโนโลยีสัญญาอัจฉริยะ

สัญญาอัจฉริยะคือโปรแกรมที่สามารถทำงานเองบนเครือข่ายบล็อกเชนอย่าง Ethereum มันทำงานตามเงื่อนไขที่กำหนดไว้ล่วงหน้าโดยไม่ต้องการการแทรกแซงหรือการควบคุมของมนุษย์จากตัวกลางดั้งเดิม

สัญญาเหล่านี้เก็บข้อมูลถาวรบนบล็อกเชน ทำให้สามารถเริ่มเข้าถึงได้จากที่ใดก็ได้ในโลก ธรรมชาติการกระจายของเครือข่ายบล็อกเชนหมายความว่าการนำเนื้อหาที่เป็นอันตรายออกนั้นกลายเป็นเรื่องที่ยากยิ่งหลังจากที่มันได้รับการเผยแพร่

เซิร์ฟเวอร์คำสั่งควบคุมคอมพิวเตอร์ที่อาชญากรไซเบอร์ใช้ในการติดต่อสื่อสารกับอุปกรณ์ที่ถูกติดเชื้อ การเก็บที่อยู่เซิร์ฟเวอร์เหล่านี้บนเครือข่ายบล็อกเชน ช่วยให้ผู้โจมตีสร้างช่องทางการสื่อสารที่ยากต่อการบุกเบิกหรือตรวจสอบ

บทความปิดท้าย

การค้นพบของคำสั่งมัลแวร์ที่ซ่อนอยู่ในสัญญาอัจฉริยะของ Ethereum ถือเป็นการพัฒนาที่สำคัญในกลยุทธ์ของอาชญากรไซเบอร์ ขณะที่ผู้โจมตีเพิ่มการใช้เทคโนโลยีบล็อกเชนเพื่อหลบเลี่ยงระบบตรวจจับ วาเลนติคเน้นว่าอาชญากรไซเบอร์ยังคงมองหาวิธีใหม่ ๆ เพื่อหลีกเลี่ยงการป้องกันความปลอดภัย โดยการเก็บคำสั่งในบล็อกเชนเป็นนวัตกรรมล่าสุดในการรับมือกับมาตรการความปลอดภัย

ข้อจำกัดความรับผิดชอบ: ข้อมูลที่ให้ไว้ในบทความนี้มีไว้เพื่อวัตถุประสงค์ทางการศึกษาเท่านั้น และไม่ควรถือเป็นคำแนะนำทางการเงินหรือกฎหมาย โปรดทำการศึกษาด้วยตนเองหรือปรึกษาผู้เชี่ยวชาญเมื่อเกี่ยวข้องกับสินทรัพย์คริปโต
ข่าวล่าสุด
แสดงข่าวทั้งหมด
ข่าวที่เกี่ยวข้อง
บทความวิจัยที่เกี่ยวข้อง
บทความการเรียนรู้ที่เกี่ยวข้อง
แฮกเกอร์ใช้สัญญาอัจฉริยะ Ethereum เพื่อซ่อนคำสั่งมัลแวร์ในวิธีการโจมตีรูปแบบใหม่ | Yellow.com