อาชญากรไซเบอร์เริ่มใช้ Ethereum สัญญาอัจฉริยะในการซ่อนคำสั่งมัลแวร์ สร้างความท้าทายใหม่ให้ทีมรักษาความปลอดภัยเนื่องจากผู้โจมตีใช้ประโยชน์จากเทคโนโลยีบล็อกเชนหลบเลี่ยงระบบการตรวจจับ บริษัทปฏิบัติตามสินทรัพย์ดิจิทัล ReversingLabs ค้นพบเทคนิคนี้หลังจากวิเคราะห์แพ็กเกจที่เป็นอันตรายสองตัวที่อัปโหลด ไปยังที่เก็บ Node Package Manager ในเดือนกรกฎาคม
วิธีการนี้ทำให้แฮกเกอร์สามารถผสมกิจกรรมของตนกับการจราจรบล็อกเชนที่ถูกต้องตามกฎหมาย ทำให้การดำเนินการที่เป็นอันตรายยากต่อการระบุและบล็อกเป็นอย่างมาก
สิ่งที่ควรรู้:
- NPM สองแพ็กเกจที่เรียกว่า "colortoolsv2" และ "mimelib2" ใช้สัญญาอัจฉริยะของ Ethereum เพื่อดึงที่อยู่เซิร์ฟเวอร์ที่เป็นอันตรายก่อนการติดตั้งมัลแวร์ขั้นสอง
- นักวิจัยด้านความปลอดภัยบันทึกการโจมตีที่เกี่ยวข้องกับคริปโต 23 แคมเปญในที่เก็บโอเพนซอร์สในปี 2024 เพียงหนึ่งปี
- กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือเคยใช้วิธีคล้ายกันในแจกจ่ายมัลแวร์ผ่านบล็อกเชนมาก่อน
วิธีการแจกจ่ายใหม่ที่ใช้ประโยชน์จากโครงสร้างพื้นฐานของบล็อกเชน
แพ็กเกจที่ ReversingLabs ระบุไว้ดูเหมือนจะเป็นแพ็กเกจที่ถูกต้องแต่มีฟังก์ชันที่ซ่อนอยู่ที่ออกแบบมาเพื่อดึงคำสั่งจาก สัญญาอัจฉริยะของ Ethereum แทนที่จะโฮสต์ลิงก์ที่เป็นอันตรายโดยตรง ซอฟต์แวร์หน้าที่เป็นตัวดาวน์โหลด ที่ดึงที่อยู่สำหรับเซิร์ฟเวอร์ควบคุมและสั่งการ
Lucija Valentić นักวิจัยของ ReversingLabs กล่าวว่าการโฮสต์ URL ที่เป็นอันตรายในสัญญา Ethereum เป็นวิธีการที่ไม่เคยมีมาก่อน "นั่นคือสิ่งที่เราไม่เคยเห็นมาก่อน" Valentić กล่าว โดยอธิบายการพัฒนานี้ว่าเป็นการเปลี่ยนแปลงอย่างรวดเร็วในวิธีที่ผู้โจมตีหลบเลี่ยงระบบสแกนความปลอดภัย
เทคนิคนี้ใช้ประโยชน์จากข้อเท็จจริงที่ว่าการจราจรของบล็อกเชนมักจะดูเหมือนเป็นการทำงานที่ถูกต้องตามกฎหมายในซอฟต์แวร์ ความปลอดภัย วิธีการตรวจจับแบบดั้งเดิมมีปัญหาในการแยกแยะระหว่างการดำเนินงานของสัญญาอัจฉริยะที่ปกติ และการดำเนินงานที่ใช้เพื่อวัตถุประสงค์ที่เป็นอันตราย
บอทการค้าเทียมเป็นช่องทางโจมตีหลัก
แพ็กเกจที่เป็นอันตรายเป็นส่วนหนึ่งของแคมเปญหลอกลวงที่กว้างขึ้นดำเนินการผ่านที่เก็บ GitHub ผู้โจมตีสร้างโครงการบอทการค้าคริปโตเคอร์เรนซีปลอมพร้อมกับประวัติการเปลี่ยนแปลงที่สร้างขึ้นปลอม บัญชีผู้ดูแลปลอมหลายบัญชีและเอกสารวิชาชีพที่ออกแบบมาเพื่อดึงดูดผู้พัฒนา
ที่เก็บเหล่านี้ถูกสร้างขึ้นเพื่อให้ดูน่าเชื่อถือในขณะที่ทำหน้าที่เป็นกลไกการแจกจ่ายสำหรับการติดตั้งมัลแวร์ ความซับซ้อนของโครงการปลอมนี้แสดงให้เห็นถึงความพยายามที่อาชญากรไซเบอร์จะไป เพื่อสร้างความน่าเชื่อถือก่อนที่จะเริ่มโจมตี
นักวิเคราะห์ความปลอดภัยได้ระบุว่าการรวมกันของการเก็บคำสั่งในบล็อกเชนและวิศวกรรมสังคมนี้เป็นการยกระดับที่สำคัญ ในความซับซ้อนของการโจมตี วิธีการนี้ทำให้การตรวจจับเป็นไปได้ยากอย่างมากสำหรับทีมรักษาความปลอดภัย ที่ต้องเฝ้าดูทั้งช่องทางโจมตีแบบดั้งเดิมและการสื่อสารผ่านบล็อกเชน
แคมเปญที่มุ่งเป้าหมายไปยัง Node Package Manager เป็นเพียงหนึ่งแง่มุมของแนวโน้มที่ใหญ่ขึ้นที่มีผลต่อชุมชนการพัฒนาโอเพนซอร์ส ผู้โจมตีมุ่งเป้าหมายไปยังสภาพแวดล้อมเหล่านี้เฉพาะเจาะจงเพราะนักพัฒนามักจะติดตั้งแพ็กเกจ โดยไม่มีการตรวจสอบความปลอดภัยอย่างละเอียด
การโจมตีที่ใช้บล็อกเชนมาก่อนหน้านี้มุ่งเป้าหมายไปที่โครงการคริปโตเคอร์เรนซี
Ethereum ไม่ใช่เครือข่ายบล็อกเชนเดียวที่ถูกใช้เพื่อวัตถุประสงค์ในการแจกจ่ายมัลแวร์ เมื่อต้นปีที่ผ่านมา กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือได้ใช้มัลแวร์ที่ใช้สัญญา Ethereum แม้ว่าการใช้งานเฉพาะของพวกเขาจะแตกต่างจากการโจมตี NPM เมื่อเร็ว ๆ นี้
ในเดือนเมษายน ผู้โจมตีสร้างที่เก็บ GitHub ปลอมที่แอบอ้างเป็นโครงการบอทการค้า Solana
ที่เก็บปลอมถูกใช้ในการแจกจ่ายมัลแวร์ที่ออกแบบมาเฉพาะเพื่อขโมยข้อมูลบัญชีวอลเล็ตคริปโตเคอร์เรนซีจากเหยื่อ
อีกกรณีหนึ่งที่มีการบันทึกไว้เกี่ยวข้องกับ "Bitcoinlib" ซึ่งเป็นไลบรารี Python ที่ตั้งใจให้ใช้สำหรับงานพัฒนาของ Bitcoin แฮกเกอร์โจมตีเครื่องมือนี้ โดยมีเป้าหมายเพื่อขโมยข้อมูลการรับรองเช่นกัน
แบบแผนนี้แสดงให้เห็นว่าอาชญากรไซเบอร์มีแนวโน้มที่จะมุ่งเป้าไปยังเครื่องมือการพัฒนาที่เกี่ยวข้องกับคริปโตเคอร์เรนซี และที่เก็บโอเพนซอร์ส สภาพแวดล้อมเหล่านี้ให้เงื่อนไขที่เหมาะสมสำหรับการโจมตี เนื่องจากนักพัฒนามักทำงานร่วมกับไลบรารีโค้ดและเครื่องมือใหม่ที่ไม่คุ้นเคย
การเข้าใจเทคโนโลยีบล็อกเชนและสัญญาอัจฉริยะ
สัญญาอัจฉริยะเป็นโปรแกรมที่ดำเนินการเองซึ่งทำงานบนเครือข่ายบล็อกเชนเช่น Ethereum พวกมันดำเนินการตามเงื่อนไขที่กำหนดไว้ล่วงหน้าโดยอัตโนมัติ โดยไม่ต้องการการแทรกแซงจากมนุษย์หรือการกำกับดูแลจากตัวกลางแบบดั้งเดิม
สัญญาเหล่านี้เก็บข้อมูลไว้อย่างถาวรบนบล็อกเชน ทำให้สามารถเข้าถึงได้จากทุกที่ในโลก ลักษณะที่กระจายออกไปของเครือข่ายบล็อกเชน หมายความว่าการลบเนื้อหาที่เป็นอันตรายออกเป็นสิ่งที่ทำได้ยากอย่างยิ่งเมื่อมันถูกใช้งานแล้ว
เซิร์ฟเวอร์ควบคุมและสั่งการคือระบบคอมพิวเตอร์ที่อาชญากรไซเบอร์ใช้เพื่อสื่อสารกับอุปกรณ์ที่ติดเชื้อ โดยการเก็บที่อยู่เซิร์ฟเวอร์บนเครือข่ายบล็อกเชน ผู้โจมตีสร้างช่องทางการสื่อสารที่ยากขึ้นสำหรับทีมรักษาความปลอดภัยที่จะขัดขวางหรือตรวจสอบ
ความคิดทิ้งท้าย
การค้นพบคำสั่งมัลแวร์ที่ซ่อนอยู่ในสัญญาอัจฉริยะของ Ethereum เป็นการเปลี่ยนแปลงที่สำคัญในเทคนิคการค้าไซเบอร์ เนื่องจากผู้โจมตีใช้ประโยชน์จากเทคโนโลยีบล็อกเชนหลบเลี่ยงระบบการตรวจจับอย่างต่อเนื่อง Valentić เน้นว่าอาชญากรไซเบอร์มองหาวิธีการใหม่ ๆ เพื่อหลบหลีกระบบการป้องกันของความปลอดภัยอยู่เสมอ โดยการเก็บคำสั่งในบล็อกเชนเป็นนวัตกรรมล่าสุด ที่พวกเขาคิดค้นขึ้นเพื่ออยู่ข้างหน้ามาตรการความปลอดภัยไซเบอร์