網路犯罪分子開始利用 Ethereum 智慧合約來隱藏惡意程式指令,此舉為安全團隊帶來新挑戰,因為攻擊者正利用區塊鏈技術規避檢測系統。數位資產合規公司 ReversingLabs 在分析 7 月上傳至 Node Package Manager 儲存庫的兩個惡意套件後,發現了這種技術。
這種手法讓駭客行為混入正常區塊鏈流量中,惡意操作變得更難以識別與阻擋。
應注意事項:
- 兩個名為「colortoolsv2」和「mimelib2」的 NPM 套件,利用以太坊智慧合約擷取惡意伺服器地址,然後安裝二階段惡意程式
- 資安研究人員在 2024 年僅在開源儲存庫就記錄到 23 起與加密貨幣相關的惡意活動
- 先前與北韓有關的 Lazarus Group 也曾使用類似區塊鏈為基礎的惡意程式傳播手法
新型發放方式利用區塊鏈基礎架構
ReversingLabs 識別 的這些套件看似正常,但其內含隱藏功能,專門從以太坊智慧合約擷取指令。該軟體並非直接提供惡意連結,而是作為下載器,專門擷取指揮與控制伺服器的地址。
ReversingLabs 研究員 Lucija Valentić 表示,將惡意網址寄存於以太坊合約是前所未見之舉。「這是我們以前沒見過的事情,」Valentić 說,此發展顯示攻擊者繞過安全掃描系統的手法正迅速演進。
此技術利用了區塊鏈流量在安全軟體眼中多數屬於正常的事實,傳統偵測方式難以區分普通智慧合約操作與惡意用途。
假冒交易機器人成為主要攻擊途徑
這些惡意套件屬於從 GitHub 儲存庫發動的廣泛社交工程攻擊,攻擊者打造偽造加密貨幣交易機器人專案,配以虛構提交記錄、假維護者帳號,以及專業的文件,吸引開發者信任。
這些儲存庫外觀看似可信,實則充當惡意程式植入的管道。假專案的高擬真度說明網路犯罪分子為了取得信任不遺餘力。
資安分析師指出,這種以區塊鏈儲存指令結合社交工程的方式,代表攻擊難度大幅升級。這讓資安團隊在防範時,必須同時監控傳統及區塊鏈通訊管道,困難度大增。
本次以 Node Package Manager 為目標的攻擊,僅是針對開源開發社群的趨勢之一。攻擊者特別針對開發者社群,因為這些人經常未經充分安全審查就安裝新套件。
過往區塊鏈病毒攻擊直指加密專案
被利用來散播惡意程式的不僅是以太坊,今年稍早,與北韓有關的 Lazarus Group 也部署過同樣利用以太坊合約的惡意軟體,雖然實作方式與近期 NPM 攻擊不同。
在四月,攻擊者建立了冒充 Solana 交易機器人專案的詐騙 GitHub 儲存庫。
該偽造儲存庫專門發送竊取加密錢包憑證的惡意軟體。
另一例為「Bitcoinlib」—一個供比特幣開發使用的 Python 函式庫。駭客將這款正當開發工具當作竊取憑證的目標。
這一系列案例顯示,網路犯罪分子持續將矛頭指向加密貨幣開發工具及開源儲存庫。由於開發者經常接觸陌生的新函式庫與工具,這些環境成為理想的攻擊溫床。
認識區塊鏈與智慧合約技術
智慧合約是在以太坊等區塊鏈網路上運行的自動化程式,可在無需人為介入或傳統第三方監督下執行既定條件。
這類合約會將資料永久儲存在區塊鏈,全世界皆可存取。區塊鏈去中心化特性,導致一旦惡意內容被發佈就很難移除。
指揮與控制伺服器即駭客用以操控受感染裝置的電腦系統。當攻擊者將這些位址存放於區塊鏈後,資安團隊要阻斷或監控此溝通管道將更為不易。
結語
發現以太坊智慧合約內嵌惡意指令,象徵網路犯罪戰術重大進化,駭客日益透過區塊鏈技術規避偵測。Valentić 指出,駭客總是在尋找繞過防線的新途徑,區塊鏈儲存指令成為其最新武器,強化規避資安措施的能力。