Кіберзлочинці почали використовувати Ethereum смарт-контракти для приховування команд зловмисного програмного забезпечення, створюючи нові виклики для команд безпеки, оскільки атакуючі використовують технологію блокчейну для уникнення систем виявлення. Компанія з цифрової відповідності активам ReversingLabs виявила цю техніку після аналізу двох зловмисних пакетів, завантажених у репозиторій Node Package Manager у липні.
Метод дозволяє хакерам змішувати свої дії з легітимним трафіком на блокчейні, що значно ускладнює виявлення і блокування зловмисних операцій.
Що потрібно знати:
- Два пакети NPM, звані "colortoolsv2" і "mimelib2", використовували смарт-контракти Ethereum для отримання зловмисних адрес серверів перед встановленням другого етапу шкідливого програмного забезпечення
- Дослідники безпеки задокументували 23 криптовалютні зловмисні кампанії в рамках відкритих репозиторіїв лише в 2024 році
- Група Lazarus, пов'язана з Північною Кореєю, раніше використовувала схожі методи розподілу зловмисного програмного забезпечення, засновані на блокчейні
Новий метод розповсюдження використовує блокчейн-інфраструктуру
Пакети, виявлені ReversingLabs, виглядали легітимними, але містили приховані функції, призначені для отримання інструкцій зі смарт-контрактів Ethereum. Замість безпосереднього розміщення зловмисних посилань програмне забезпечення діяло як завантажувачі, які отримували адреси для командно-контрольних серверів.
Дослідниця Lucija Valentić з ReversingLabs повідомила, що розміщення зловмисних URL-адрес на контрактах Ethereum представляє безпрецедентний підхід. "Це те, чого ми раніше не бачили", заявила Valentić, описуючи розвиток як швидку еволюцію у способах, якими атакуючі обходять системи сканування безпеки.
Ця техніка використовує той факт, що трафік блокчейну часто виглядає легітимним для програмного забезпечення безпеки. Традиційні методи виявлення намагаються розрізнити нормальні операції зі смарт-контрактами та ті, що використовуються для зловмисних цілей.
Фальшиві торгові боті є основним вектором атаки
Зловмисні пакети були частиною широкої кампанії обману, проведеної через репозиторії GitHub. Атакуючі створили фальшиві проекти криптовалютних торгових ботів з усіма елементами, включаючи сфальсифіковані історії комітів, декілька фальшивих облікових записів розробників та професійну документацію, спрямовані на привернення розробників.
Ці репозиторії були створені так, щоб виглядати надійними, при цьому вони служили механізмами доставки для встановлення зловмисного забезпечення. Складність фальшивих проектів демонструє, наскільки далеко йдуть кіберзлочинці, щоб встановити довіру перед запуском атак.
Аналітики з безпеки визначили цю комбінацію зберігання команд на блокчейні та соціальної інженерії як значне посилення складності атак. Підхід робить виявлення суттєво складнішим для команд кібербезпеки, які тепер мають контролювати як традиційні вектори атак, так і комунікації на основі блокчейну.
Кампанія, яка націлена на Node Package Manager, представляє лише один аспект більш широкої тенденції, що стосується спільнот розробників у відкритому коді. Атакуючі спеціально націлюються на ці середовища, оскільки розробники часто встановлюють пакети без ретельного аналізу безпеки.
Попередні атаки на базі блокчейну націлювалися на криптовалютні проекти
Ethereum не є єдиною мережею блокчейну, яку експлуатують для розповсюдження зловмисного забезпечення. Раніше в цьому році група Lazarus, пов'язана з Північною Кореєю, розгорнула зловмисне програмне забезпечення, що також використовувало контракти Ethereum, хоча їх конкретна реалізація відрізнялася від недавньої атаки NPM.
У квітні атакуючі створили фальшивий репозиторій GitHub, що видавав себе за проект торгового бота Solana.
Фальшивий репозиторій використовувався для розповсюдження зловмисного ПЗ, спеціально розробленого для крадіжки криптовалютних гаманців від жертв.
Інший задокументований випадок включав "Bitcoinlib", бібліотеку Python, призначену для роботи з розробкою Bitcoin. Хакери націлилися на цей легітимний інструмент для розробки з подібними цілями крадіжки облікових даних.
Шаблон показує, як кіберзлочинці постійно націлюються на інструменти розробки, пов'язані з криптовалютою, та репозиторії з відкритим кодом. Ці середовища надають ідеальні умови для атак, оскільки розробники зазвичай працюють з новими, незнайомими бібліотеками та інструментами коду.
Розуміння технології блокчейну та смарт-контрактів
Смарт-контракти - це програми, що виконуються самостійно, які працюють на мережах блокчейн, таких як Ethereum. Вони автоматично виконують заздалегідь встановлені умови без потреби в людському втручанні чи нагляді традиційних посередників.
Ці контракти зберігають дані постійно на блокчейні, що робить їх доступними з будь-якого місця у світі. Децентралізована природа мереж блокчейну означає, що видалення зловмисного контенту стає дуже складним процесом, як тільки його було розгорнуто.
Командно-контрольні сервери - це комп'ютерні системи, які кіберзлочинці використовують для спілкування з інфікованими пристроями. Зберігаючи адреси серверів на блокчейнових мережах, атакуючі створюють канали комунікації, які важче переривати або контролювати командам безпеки.
Заключні думки
Виявлення команд зловмисного програмного забезпечення, прихованих у смарт-контрактах Ethereum, означає значну еволюцію в тактиці кіберзлочинців, адже атакуючі все більше і більше експлуатують технології блокчейну, щоб уникнути систем виявлення. Valentić підкреслила, що кіберзлочинці постійно шукають нові методи обходу заходів безпеки, і зберігання команд на блокчейні представляє їхню останню інновацію у збереженні переваги над заходами кібербезпеки.