Tội phạm mạng đã bắt đầu sử dụng Ethereum hợp đồng thông minh để giấu lệnh phần mềm độc hại, tạo ra thách thức mới cho nhóm bảo mật khi kẻ tấn công khai thác công nghệ blockchain để tránh hệ thống phát hiện. Công ty tuân thủ tài sản kỹ thuật số ReversingLabs đã phát hiện ra kỹ thuật này sau khi phân tích hai gói phần mềm độc hại được tải lên kho Node Package Manager vào tháng 7.
Phương pháp này cho phép tin tặc hòa lẫn hoạt động của họ với lưu lượng blockchain hợp pháp, làm cho các hoạt động độc hại rất khó nhận diện và chặn.
Những Điều Cần Biết:
- Hai gói NPM được gọi là "colortoolsv2" và "mimelib2" đã sử dụng hợp đồng thông minh Ethereum để truy xuất địa chỉ máy chủ độc hại trước khi cài đặt phần mềm độc hại giai đoạn hai
- Các nhà nghiên cứu bảo mật đã ghi nhận 23 chiến dịch độc hại liên quan đến tiền điện tử trong các kho nguồn mở chỉ trong năm 2024
- Nhóm Lazarus liên kết với Bắc Triều Tiên đã từng sử dụng phương thức phân phối phần mềm độc hại dựa trên blockchain tương tự trước đây
Phương Pháp Phân Phối Mới Khai Thác Cơ Sở Hạ Tầng Blockchain
Các gói được xác định bởi ReversingLabs xuất hiện hợp pháp nhưng chứa các chức năng ẩn được thiết kế để lấy hướng dẫn từ hợp đồng thông minh Ethereum. Thay vì chứa liên kết độc hại trực tiếp, phần mềm hoạt động như trình tải xuống lấy địa chỉ cho các máy chủ chỉ huy và kiểm soát.
Lucija Valentić, một nhà nghiên cứu tại ReversingLabs, nhận định việc lưu trữ các URL độc hại trên các hợp đồng Ethereum là một phương pháp chưa từng có. "Đó là điều mà chúng tôi chưa từng thấy trước đây," Valentić nói, mô tả sự phát triển này như một sự tiến hóa nhanh trong cách mà kẻ tấn công lẩn tránh hệ thống quét bảo mật.
Kỹ thuật này tận dụng thực tế rằng lưu lượng blockchain thường xuất hiện hợp pháp đối với phần mềm bảo mật. Các phương pháp phát hiện truyền thống gặp khó khăn khi phân biệt giữa hoạt động hợp đồng thông minh bình thường và những hoạt động được sử dụng cho mục đích độc hại.
Bot Giao Dịch Giả Mạo Phục Vụ Làm Kênh Tấn Công Chính
Các gói độc hại này là một phần của chiến dịch lừa đảo rộng hơn được thực hiện qua các kho GitHub. Kẻ tấn công đã xây dựng những dự án bot giao dịch tiền điện tử giả hoàn chỉnh với lịch sử cam kết giả mạo, nhiều tài khoản người quản lý giả và tài liệu chuyên nghiệp được thiết kế để thu hút các nhà phát triển.
Các kho này được chế tác để trông có vẻ đáng tin cậy trong khi đóng vai trò là cơ chế phân phối cho việc cài đặt phần mềm độc hại. Sự tinh vi của các dự án giả cho thấy mức độ mà tội phạm mạng sẽ vượt qua để thiết lập độ tin cậy trước khi khởi động cuộc tấn công.
Các nhà phân tích bảo mật đã xác định sự kết hợp giữa lưu trữ lệnh dựa trên blockchain và kỹ thuật xã hội này là một sự leo thang quan trọng trong phức tạp tấn công. Phương pháp tiếp cận làm cho phát hiện trở nên khó khăn đáng kể cho các nhóm an ninh mạng phải theo dõi cả kênh tấn công truyền thống và các liên lạc dựa trên blockchain.
Chiến dịch mục tiêu Node Package Manager chỉ là một khía cạnh của xu hướng lớn hơn ảnh hưởng đến các cộng đồng phát triển mã nguồn mở. Kẻ tấn công nhắm mục tiêu cụ thể vào các môi trường này vì các nhà phát triển thường cài đặt các gói mà không thực hiện xem xét bảo mật kỹ lưỡng.
Các Cuộc Tấn Công Dựa Trên Blockchain Trước Đây Nhắm Vào Dự Án Tiền Điện Tử
Ethereum không phải là mạng blockchain duy nhất bị lợi dụng cho mục đích phân phối phần mềm độc hại. Đầu năm nay, nhóm Lazarus liên kết với Bắc Triều Tiên đã triển khai phần mềm độc hại cũng sử dụng các hợp đồng Ethereum, mặc dù cách thực hiện cụ thể của họ khác với cuộc tấn công NPM gần đây.
Vào tháng 4, các kẻ tấn công đã tạo một kho GitHub giả danh dự án bot giao dịch Solana.
Kho giả được dùng để phân phối phần mềm độc hại được thiết kế đặc biệt để đánh cắp thông tin đăng nhập ví tiền điện tử từ các nạn nhân.
Một trường hợp được ghi nhận khác liên quan đến "Bitcoinlib," một thư viện Python dùng trong công việc phát triển Bitcoin. Tin tặc đã nhắm mục tiêu vào công cụ phát triển hợp pháp này với mục đích đánh cắp thông tin đăng nhập tương tự.
Mô hình này cho thấy tội phạm mạng liên tục nhắm mục tiêu vào các công cụ phát triển liên quan đến tiền điện tử và các kho nguồn mở. Những môi trường này cung cấp điều kiện lý tưởng cho các cuộc tấn công vì các nhà phát triển thường làm việc với các thư viện mã và công cụ mới lạ chưa quen thuộc.
Hiểu Về Công Nghệ Blockchain và Hợp Đồng Thông Minh
Hợp đồng thông minh là các chương trình tự thực thi chạy trên mạng blockchain như Ethereum. Chúng tự động thực thi các điều kiện định trước mà không cần sự can thiệp của con người hoặc giám sát từ các trung gian truyền thống.
Các hợp đồng này lưu trữ dữ liệu vĩnh viễn trên blockchain, khiến chúng có thể truy cập từ bất kỳ đâu trên thế giới. Bản chất phi tập trung của các mạng blockchain đồng nghĩa với việc việc loại bỏ nội dung độc hại trở nên cực kỳ khó khăn khi đã được triển khai.
Máy chủ chỉ huy và kiểm soát là các hệ thống máy tính mà tội phạm mạng sử dụng để giao tiếp với các thiết bị bị nhiễm. Bằng cách lưu trữ địa chỉ máy chủ trên các mạng blockchain, kẻ tấn công tạo ra các kênh giao tiếp mà khó bị các nhóm bảo mật gián đoạn hoặc giám sát.
Kết Luận
Việc phát hiện các lệnh phần mềm độc hại ẩn trong các hợp đồng thông minh Ethereum đánh dấu một sự tiến hóa quan trọng trong chiến thuật tội phạm mạng, khi kẻ tấn công ngày càng khai thác công nghệ blockchain để tránh hệ thống phát hiện. Valentić nhấn mạnh rằng tội phạm mạng liên tục tìm kiếm các phương thức mới để vượt qua các biện pháp bảo vệ an ninh, với việc lưu trữ lệnh dựa trên blockchain đại diện cho sự đổi mới mới nhất của họ trong việc đi trước các biện pháp an ninh mạng.