Кіберзлочинці почали використовувати Ethereum смарт-контракти, щоб приховувати команди зловмисного ПЗ, створюючи нові виклики для команд безпеки, оскільки зловмисники експлуатують технологію блокчейн для уникнення систем виявлення. Компанія ReversingLabs, яка займається дотриманням норм у сфері цифрових активів, виявила цю техніку після аналізу двох зловмисних пакетів, завантажених у репозиторій Node Package Manager у липні.
Метод дозволяє хакерам змішувати свою діяльність з легітимним блокчейн-трафіком, що значно ускладнює ідентифікацію та блокування зловмисних операцій.
Що Знати:
- Два пакети NPM названі "colortoolsv2" та "mimelib2" використовували смарт-контракти Ethereum для отримання зловмисних адрес серверів перед встановленням другостадійного зловмисного ПЗ
- Дослідники з безпеки задокументували 23 зловмисних кампанії, пов'язаних із криптовалютою, у відкритих репозиторіях лише в 2024 році
- Група Lazarus, пов'язана з Північною Кореєю, раніше використовувала подібні методи розповсюдження зловмисного ПЗ на основі блокчейну
Новий Метод Розповсюдження Експлуатує Інфраструктуру Блокчейн
Пакети, ідентифіковані ReversingLabs, виглядали легітимними, але містили приховані функції, призначені для отримання інструкцій зі смарт-контрактів Ethereum. Замість прямого розміщення зловмисних посилань, програмне забезпечення діяло як завантажувачі, що отримували адреси командно-контрольних серверів.
Дослідниця компанії ReversingLabs, Lucija Valentić, зазначила, що розміщення зловмисних URL у контрактах Ethereum є безпрецедентним підходом. "Це те, чого ми раніше не бачили," заявила Валентіч, описуючи розвиток як швидку еволюцію у способах обходу систем сканування безпеки.
Техніка використовує ту обставину, що трафік блокчейну часто виглядає легітимним для програмного забезпечення безпеки. Традиційні методи виявлення мають складнощі відрізнити між нормальними операціями смарт-контрактів і тими, що використовуються для зловмисних цілей.
Фейкові Торгові Боти Як Основний Вектор Атаки
Зловмисні пакети були частиною ширшої кампанії обману, проведеної через GitHub-репозиторії. Атака передбачала створення підроблених проектів криптовалютних торгових ботів зі складеними історіями комітів, кількома фейковими обліковими записами підтримки та професійною документацією для залучення розробників.
Ці репозиторії були розроблені так, щоб виглядати надійними, служачи при цьому механізмами доставки для встановлення зловмисного ПЗ. Складність підроблених проектів демонструє, наскільки далеко готові йти кіберзлочинці, щоб встановити довіру перед початком атак.
Аналітики з безпеки визначили цю комбінацію зберігання команд на блокчейні та соціальної інженерії як значний крок ускладнення атаки. Такий підхід робить виявлення помітно більш складним для команд з кібербезпеки, які тепер повинні контролювати як традиційні вектори атак, так і комунікації на основі блокчейну.
Кампанія, що націлена на Node Package Manager, є лише одним аспектом більшої тенденції, що впливає на спільноти розробки з відкритим вихідним кодом. Атакуючі спеціально націлюють ці середовища, оскільки розробники часто встановлюють пакети без ретельних перевірок безпеки.
Попередні Атаки, Інспіровані Блокчейном, Націлені На Криптовалютні Проекти
Ethereum не є єдиною блокчейн-мережею, яку використовують для розповсюдження зловмисного ПЗ. На початку цього року група Lazarus, пов'язана з Північною Кореєю, застосувала зловмисне ПЗ, що також використовувало контракти Ethereum, хоча їхня конкретна реалізація відрізнялася від останньої атаки NPM.
У квітні атакуючі створили фальшивий GitHub-репозиторій, який видавав себе за проект торгового бота Solana.
Фальшивий репозиторій використовувався для розповсюдження зловмисного ПЗ, спеціально призначеного для крадіжки облікових даних криптогаманців у жертв.
Інший задокументований випадок включав "Bitcoinlib", бібліотеку Python, призначену для роботи з розробкою Bitcoin. Хакери націлилися на цей легітимний інструмент розробки для схожих цілей крадіжки облікових даних.
Шаблон показує, що кіберзлочинці постійно націлюються на інструменти розробки, пов'язані з криптовалютою, та репозиторії з відкритим вихідним кодом. Ці середовища забезпечують ідеальні умови для атак, оскільки розробники часто працюють з новими, незнайомими бібліотеками і інструментами коду.
Розуміння Блокчейну Та Технології Смарт-контрактів
Смарт-контракти — це самовиконувані програми, які працюють на блокчейн-мережах, таких як Ethereum. Вони автоматично виконують задані умови без необхідності людського втручання або нагляду з боку традиційних посередників.
Ці контракти зберігають дані назавжди на блокчейні, роблячи їх доступними з будь-якої точки світу. Децентралізований характер блокчейн-мереж означає, що видалення зловмисного вмісту стає надзвичайно складним, коли його вже розгорнуто.
Командно-контрольні сервери — це комп'ютерні системи, які кіберзлочинці використовують для комунікації із зараженими пристроями. Зберігаючи адреси серверів на блокчейн-мережах, атакуючі створюють канали зв'язку, які важче руйнувати або контролювати командам безпеки.
Заключні Думки
Виявлення команд зловмисного ПЗ, прихованих у смарт-контрактах Ethereum, позначає значну еволюцію в тактиках кіберзлочинців, адже нападники все більше експлуатують блокчейн-технології для уникнення систем виявлення. Валентіч підкреслила, що кіберзлочинці постійно шукають нові методи обходу захисних механізмів, зі зберіганням команд на основі блокчейну, представляючи їх останню інновацію для випередження заходів з кібербезпеки.