Tội phạm mạng đã bắt đầu sử dụng Ethereum hợp đồng thông minh để che giấu lệnh phần mềm độc hại, tạo ra những thách thức mới cho các đội ngũ an ninh khi kẻ tấn công lợi dụng công nghệ blockchain để tránh hệ thống phát hiện. Công ty tuân thủ tài sản số ReversingLabs phát hiện ra kỹ thuật này sau khi phân tích hai gói phần mềm độc hại được tải lên kho Node Package Manager vào tháng 7.
Phương pháp này cho phép tin tặc hòa trộn hoạt động của họ với lưu lượng blockchain hợp lệ, làm cho các hoạt động độc hại trở nên khó xác định và chặn.
Những điều cần biết:
- Hai gói NPM gọi là "colortoolsv2" và "mimelib2" đã sử dụng hợp đồng thông minh Ethereum để truy xuất địa chỉ máy chủ độc hại trước khi cài đặt phần mềm độc hại giai đoạn hai.
- Các nhà nghiên cứu bảo mật đã ghi nhận 23 chiến dịch độc hại liên quan đến tiền điện tử trên các kho mã nguồn mở chỉ trong năm 2024.
- Nhóm Lazarus liên kết với Triều Tiên trước đây đã sử dụng phương pháp phân phối phần mềm độc hại dựa trên blockchain tương tự.
Phương pháp phân phối mới khai thác hạ tầng Blockchain
Các gói được xác định bởi ReversingLabs xuất hiện hợp lệ nhưng chứa các chức năng ẩn được thiết kế để lấy hướng dẫn từ các hợp đồng thông minh Ethereum. Thay vì tổ chức các liên kết độc hại trực tiếp, phần mềm hoạt động như các chương trình tải xuống truy xuất địa chỉ cho các máy chủ điều khiển và kiểm soát.
Nghiên cứu viên Lucija Valentić tại ReversingLabs cho biết việc lưu trữ URL độc hại trên các hợp đồng Ethereum đại diện cho một phương pháp chưa từng có. "Đó là điều mà chúng tôi chưa thấy trước đây," Valentić cho biết, mô tả sự phát triển này như một sự evolucion nhanh chóng trong cách kẻ tấn công né tránh các hệ thống quét bảo mật.
Kỹ thuật này tận dụng thực tế rằng lưu lượng blockchain thường xuất hiện hợp lệ đối với phần mềm bảo mật. Các phương pháp phát hiện truyền thống gặp khó khăn trong việc phân biệt giữa các hoạt động hợp đồng thông minh thông thường và những hoạt động được sử dụng cho mục đích độc hại.
Bot giao dịch giả mạo là kênh tấn công chính
Các gói độc hại này hình thành một phần của chiến dịch đánh lừa rộng hơn được thực hiện thông qua các kho GitHub. Kẻ tấn công đã xây dựng các dự án bot giao dịch tiền điện tử giả mạo hoàn chỉnh với lịch sử commit giả, nhiều tài khoản bảo trì giả và tài liệu chuyên nghiệp được thiết kế để thu hút các nhà phát triển.
Các kho này được thiết kế để xuất hiện đáng tin cậy trong khi phục vụ như cơ chế cung cấp cho các cài đặt phần mềm độc hại. Sự phức tạp của các dự án giả này thể hiện mức độ mà tội phạm mạng sẽ đạt được để thiết lập uy tín trước khi thực hiện các cuộc tấn công.
Các nhà phân tích bảo mật đã xác định sự kết hợp giữa lưu trữ lệnh dựa trên blockchain và tấn công bằng kỹ thuật xã hội như một sự leo thang đáng kể trong mức độ phức tạp của cuộc tấn công. Phương pháp này khiến việc phát hiện trở nên khó khăn đáng kể cho các nhóm bảo mật vốn cần phải giám sát cả các kênh tấn công truyền thống và các liên lạc dựa trên blockchain.
Chiến dịch nhắm vào Node Package Manager chỉ đại diện cho một khía cạnh của xu hướng lớn hơn ảnh hưởng đến cộng đồng phát triển mã nguồn mở. Kẻ tấn công cụ thể nhắm vào những môi trường này vì các nhà phát triển thường cài đặt các gói mà không có các đánh giá bảo mật kỹ lưỡng.
Các cuộc tấn công trước đây dựa trên Blockchain nhắm vào dự án tiền điện tử
Ethereum không phải là mạng blockchain duy nhất bị lợi dụng cho mục đích phân phối phần mềm độc hại. Đầu năm nay, Nhóm Lazarus liên kết với Triều Tiên đã triển khai phần mềm độc hại cũng sử dụng các hợp đồng Ethereum, mặc dù việc thực hiện cụ thể của họ khác với cuộc tấn công NPM gần đây.
Vào tháng 4, kẻ tấn công đã tạo ra một kho GitHub giả mạo để giả mạo dự án bot giao dịch Solana.
Kho giả này được sử dụng để phân phối phần mềm độc hại được thiết kế đặc biệt để đánh cắp thông tin xác thực ví tiền điện tử từ các nạn nhân.
Một trường hợp khác đã được ghi nhận liên quan đến "Bitcoinlib," một thư viện Python được dự định cho công việc phát triển Bitcoin. Tin tặc nhắm vào công cụ phát triển hợp lệ này cho mục đích đánh cắp thông tin xác thực tương tự.
Mô hình cho thấy tội phạm mạng liên tục nhắm vào các công cụ phát triển liên quan đến tiền điện tử và các kho mã nguồn mở. Những môi trường này cung cấp điều kiện lý tưởng cho các cuộc tấn công vì các nhà phát triển thường làm việc với các thư viện mã và công cụ mới, không quen thuộc.
Hiểu về công nghệ Blockchain và Hợp đồng thông minh
Hợp đồng thông minh là các chương trình tự thực hiện chạy trên các mạng blockchain như Ethereum. Chúng tự động thực hiện các điều kiện đã được xác định trước mà không yêu cầu can thiệp của con người hoặc giám sát từ các trung gian truyền thống.
Những hợp đồng này lưu trữ dữ liệu vĩnh viễn trên blockchain, làm cho chúng có thể truy cập từ bất cứ đâu trên thế giới. Bản chất phi tập trung của các mạng blockchain có nghĩa là loại bỏ nội dung độc hại trở nên cực kỳ khó khăn sau khi đã được triển khai.
Máy chủ điều khiển và kiểm soát là các hệ thống máy tính mà tội phạm mạng sử dụng để liên lạc với các thiết bị bị nhiễm. Bằng cách lưu trữ địa chỉ máy chủ trên các mạng blockchain, kẻ tấn công tạo ra các kênh liên lạc khó khăn hơn cho các nhóm bảo mật để phá vỡ hoặc giám sát.
Suy nghĩ cuối cùng
Việc phát hiện các lệnh phần mềm độc hại ẩn trong các hợp đồng thông minh Ethereum đánh dấu một sự phát triển đáng kể trong chiến thuật của tội phạm mạng, khi các kẻ tấn công ngày càng khai thác công nghệ blockchain để tránh hệ thống phát hiện. Valentić nhấn mạnh rằng tội phạm mạng liên tục tìm kiếm các phương pháp mới để vượt qua phòng thủ bảo mật, với lưu trữ lệnh dựa trên blockchain đại diện cho sự đổi mới mới nhất của họ trong việc đứng trước các biện pháp an ninh mạng.