網絡罪犯開始利用 Ethereum 智能合約來隱藏惡意軟件指令,令安全團隊面臨新挑戰,因為攻擊者正利用區塊鏈技術規避偵測系統。數字資產合規公司 ReversingLabs 於七月分析兩個上載到 Node Package Manager 儲存庫的惡意套件後,發現了這種手法。
這種方法讓黑客能把行動混入到合法區塊鏈流量之中,令惡意操作更難被識別及攔截。
重點整理:
- 兩個名為「colortoolsv2」及「mimelib2」的 NPM 套件利用以太坊智能合約提取惡意伺服器地址,然後安裝第二階段惡意軟件
- 2024 年已有 23 個加密貨幣相關惡意行動被發現於開源儲存庫內
- 有北韓背景的 Lazarus Group 亦曾用類似區塊鏈發送惡意軟件的方法
新型傳播方式利用區塊鏈架構
被 ReversingLabs 發現的這些套件外表看似合法,實則藏有從以太坊智能合約提取指令的隱藏功能。程式不會直接容納惡意連結,而是充當下載器,從合約提取指揮及控制伺服器的地址。
ReversingLabs 研究員 Lucija Valentić 表示,將惡意網址寄存於以太坊合約屬前所未見。她指出,這代表攻擊者繞過安全掃描系統的手法正迅速進化。
這技術利用了區塊鏈流量對安全軟件而言通常屬正常的事實。傳統偵測方式難以分辨普通智能合約操作及惡意用途。
假交易機械人項目成主要攻擊渠道
這些惡意套件屬於一場更大型的誘騙行動,透過 GitHub 儲存庫進行。攻擊者製造虛假的加密貨幣交易機械項目,偽造提交紀錄,設立多個虛假維護者帳戶及專業文件,吸引用戶信任。
這些儲存庫裝飾得貌似可信,其實是用來傳播惡意軟件。虛假項目的精細程度反映網絡罪犯為取得信任不惜工夫。
安全分析人士認為,結合了區塊鏈指令藏匿及社交工程,令攻擊複雜程度顯著升級。安全團隊除要監控傳統攻擊渠道外,還需留意區塊鏈通訊,大大加重偵測難度。
針對 Node Package Manager 的行動只是影響開源社群趨勢的一部份。攻擊者看中這些環境,因為開發者經常未嚴格驗證便安裝新軟件包。
過往區塊鏈攻擊同樣針對加密項目
以太坊不是唯一被利用的區塊鏈。今年早些時候,與北韓有關的 Lazarus Group 也部署過涉及以太坊智能合約的惡意軟件,雖然手法和這次 NPM 攻擊有所不同。
In April, attackers created a fraudulent GitHub repository that impersonated a Solana trading bot project.
該虛假儲存庫用作傳播專門竊取加密錢包憑證的惡意軟件。
另有記錄顯示名為「Bitcoinlib」的 Python 開發庫亦遭到類似憑證盜竊攻擊——黑客針對這個原本屬正規比特幣開發的工具。
模式顯示,網絡罪犯不斷狙擊加密貨幣相關的開發工具及開源儲存庫。這些環境常用新工具及陌生程式碼,成為攻擊理想目標。
認識區塊鏈及智能合約技術
智能合約是運行於區塊鏈網絡(如以太坊)上的自動執行程式。這些合約可在無需人工干預下自動履行既定規則,不依賴傳統中介。
合約資料會永久儲存在區塊鏈,全球任何地方都能存取。區塊鏈的去中心化設計令惡意內容一經發佈,非常難徹底移除。
指揮及控制伺服器是網絡罪犯與受感染裝置溝通的系統。將伺服器地址存放於區塊鏈,令安全團隊難以干擾或監控通訊渠道。
總結
在以太坊智能合約內藏惡意指令的發現,標誌著網絡罪犯手法重大進化,利用區塊鏈規避偵測。Valentić 強調,攻擊者不斷尋找新方法繞過安全防線,而以區塊鏈藏指令正正是最新一環。