Dijital varlık uyumluluk firması ReversingLabs, Temmuz ayında Node Paket Yöneticisi deposuna yüklenen iki kötü amaçlı paketi analiz ettikten sonra tekniği keşfetti.
Bu yöntem, bilgisayar korsanlarının faaliyetlerini yasal blockchain trafiğiyle harmanlamalarına izin vererek, kötü amaçlı operasyonları tanımlamayı ve engellemeyi önemli ölçüde zorlaştırıyor.
Bilinmesi Gerekenler:
- "colortoolsv2" ve "mimelib2" adlı iki NPM paketi, kötü amaçlı sunucu adreslerini almak için Ethereum akıllı sözleşmelerini kullandı.
- 2024 yılında açık kaynaklı depolarda 23 kripto ile ilgili kötü niyetli kampanya belgelenmiştir.
- Kuzey Kore bağlantılı Lazarus Grubu daha önce benzer blockchain tabanlı kötü amaçlı yazılım dağıtım yöntemlerini kullanmıştır.
Yeni Dağıtım Yöntemi, Blockchain Altyapısını İstismar Ediyor
ReversingLabs tarafından tanımlanan paketler yasal görünüyor, ancak komutları Ethereum akıllı sözleşmelerinden çekmek üzere tasarlanmış gizli fonksiyonlar içeriyordu. Kötü amaçlı bağlantıları doğrudan barındırmak yerine, yazılım, komuta ve kontrol sunucularının adreslerini alan indirme programları olarak hareket etti.
ReversingLabs araştırmacısı Lucija Valentić, kötü amaçlı URL'lerin Ethereum sözleşmelerinde barındırılmasının benzersiz bir yaklaşım olduğunu söyledi. Valentić, bunun daha önce görmedikleri bir gelişme olduğunu belirterek, saldırganların güvenlik tarama sistemlerini nasıl aştıklarının hızlı bir evrimi olarak tanımladı.
Bu teknik, blockchain trafiğinin genellikle güvenlik yazılımlarına yasal göründüğü gerçeğinden yararlanıyor. Geleneksel tespit yöntemleri, normal akıllı sözleşme operasyonları ile kötü amaçlı amaçlarla kullanılanları ayırt etmekte zorlanır.
Sahte Ticaret Botları Birincil Saldırı Vektörü Olarak Hizmet Veriyor
Kötü amaçlı paketler, GitHub depoları aracılığıyla yürütülen daha geniş bir aldatmaca kampanyasının parçasıydı. Saldırganlar, sahte kripto para ticaret botu projeleri oluşturdular ve bunun yanı sıra sahte taahhüt geçmişleri, birden fazla sahte bakımcı hesap ve geliştiricileri çekmek için profesyonel dökümantasyon sundular.
Bu depolar, güvenilir görünmek üzere hazırlanmıştı ancak kötü amaçlı yazılım yüklemeleri için bir dağıtım mekanizması olarak hizmet veriyordu. Sahte projelerin karmaşıklığı, siber suçluların saldırı başlatmadan önce itibar kazanmak için ne kadar ileri gideceğini gösteriyor.
Güvenlik analistleri, blok zincire dayalı komut depolama ve sosyal mühendislik kombinasyonunu saldırı karmaşıklığında önemli bir artış olarak tanımladı. Bu yaklaşım, şimdi hem geleneksel saldırı vektörlerini hem de blockchain tabanlı iletişimleri izlemek zorunda olan siber güvenlik ekipleri için tespiti oldukça zorlaştırıyor.
Node Paket Yöneticisini hedefleyen kampanya, açık kaynak geliştirme topluluklarını etkileyen daha büyük bir trendin sadece bir yönünü temsil ediyor. Saldırganlar bu ortamları özellikle hedef alıyor çünkü geliştiriciler genellikle paketleri kapsamlı güvenlik incelemesi yapmadan yüklüyor.
Önceki Blockchain Tabanlı Saldırılar Kripto Para Projelerini Hedefliyor
Ethereum, kötü amaçlı yazılım dağıtım amacıyla istismar edilen tek blockchain ağı değil. Bu yılın başlarında, Kuzey Kore bağlantılı Lazarus Grubu, Ethereum kontratlarını da kullanan kötü amaçlı yazılımlar konuşlandırdı, ancak spesifik uygulamaları son NPM saldırısından farklıydı.
Nisan ayında, saldırganlar, Solana ticaret botu projesiymiş gibi davranan sahte bir GitHub deposu oluşturdular.
Sahte depo, mağdurların kripto para cüzdan kimlik bilgilerini çalmak üzere özel olarak tasarlanmış kötü amaçlı yazılımları dağıtmak için kullanıldı.
Başka bir belgelenmiş vaka, Bitcoin geliştirme çalışmaları için tasarlanmış bir Python kütüphanesi olan "Bitcoinlib" içeriyordu. Hackerlar, bu yasal geliştirme aracını benzer kimlik bilgileri hırsızlığı amaçları için hedef aldı.
Bu desen, siber suçluların sürekli olarak kripto para birimiyle ilgili geliştirme araçlarını ve açık kaynaklı depoları hedef aldığını gösteriyor. Bu ortamlar, geliştiriciler genellikle yeni, alışılmamış kod kütüphaneleri ve araçlarla çalıştığı için saldırılar için ideal koşullar sunar.
Blockchain ve Akıllı Sözleşme Teknolojisini Anlamak
Akıllı sözleşmeler, Ethereum gibi blockchain ağlarında çalışan kendi kendini yürüten programlardır. Geleneksel aracıların insan müdahalesi veya gözetimi olmadan önceden belirlenmiş koşulları otomatik olarak yürütürler.
Bu sözleşmeler, verileri blockchain'de kalıcı olarak depolar ve dünyanın her yerinden erişilebilir hale getirir. Blockchain ağlarının merkezi olmayan doğası, kötü amaçlı içeriği konuşlandırıldıktan sonra kaldırmayı son derece zorlaştırır.
Komuta ve kontrol sunucuları, siber suçluların enfekte cihazlarla iletişim kurmak için kullandığı bilgisayar sistemleridir. Sunucu adreslerini blockchain ağlarında saklayarak, saldırganlar, güvenlik ekiplerinin bozamayacağı veya izleyemeyeceği iletişim kanalları oluşturur.
Kapanış Düşünceleri
Ethereum akıllı sözleşmelerinde gizlenen kötü amaçlı yazılım komutlarının keşfi, siber suçlu taktiklerinde önemli bir evrime işaret ediyor; saldırganlar giderek artan bir oranda blockchain teknolojisini tespit sistemlerini aşmak için kullanıyorlar. Valentić, siber suçluların sürekli olarak güvenlik savunmalarını aşmanın yeni yollarını aradığını, blockchain tabanlı komut depolamanın ise siber güvenlik önlemlerini geride bırakmada en son yenilikleri olduğunu vurguladı.