网络犯罪分子已经开始使用 以太坊 智能合约来隐藏恶意软件命令,给安全团队带来新的挑战,因为攻击者利用区块链技术来躲避检测系统。数字资产合规公司 ReversingLabs 在分析了 7 月份上传到 Node Package Manager 仓库的两个恶意包后发现了这一技术。
这种方法允许黑客将其活动与合法的区块链流量混合,使得恶意操作显著难以识别和拦截。
需要了解的内容:
- 两个 NPM 包名为"colortoolsv2"和"mimelib2",使用以太坊智能合约在安装第二阶段恶意软件之前检索恶意服务器地址
- 安全研究人员在 2024 年记录了 23 次与加密相关的恶意活动的开源仓库活动
- 与朝鲜有联系的 Lazarus Group 之前曾使用类似的基于区块链的恶意软件分发方法
新的分发方法利用区块链基础设施
ReversingLabs 发现的 包看似合法,但包含隐藏功能,旨在从以太坊智能合约中提取指令。软件作为下载器,而不是直接托管恶意链接,负责检索用于指挥和控制服务器的地址。
ReversingLabs 的研究员 Lucija Valentić 表示,在以太坊合约上托管恶意 URL 是一种前所未有的方法。Valentić 说,这种开发标志着攻击者绕过安全扫描系统的快速进化。
这种技术利用了区块链流量通常被安全软件认为合法的事实。传统检测方法难以区分正常的智能合约操作和用于恶意目的的操作。
虚假交易机器人成为主要攻击向量
恶意包是通过 GitHub 仓库进行的更广泛欺骗活动的一部分。攻击者构建了虚假的加密货币交易机器人项目,配有伪造的提交历史记录、多个虚假维护者账户和专业文档,旨在吸引开发者。
这些仓库被设计得看似可信,同时作为恶意软件安装的分发机制。虚假项目的复杂性表明,网络犯罪分子在发起攻击之前会不遗余力地建立可信度。
安全分析师已将这种结合区块链存储命令和社交工程的方式视为攻击复杂性的显著升级。该方法使得检测困难大幅增加,网络安全团队现在必须监控传统攻击向量和基于区块链的通信。
针对 Node Package Manager 的攻击活动只是影响开源开发社区更大趋势的一个方面。攻击者特别针对这些环境,因为开发者通常在没有彻底安全审查的情况下安装包。
以前的基于区块链的攻击目标是加密货币项目
以太坊并不是唯一被利用用于恶意软件分发的区块链网络。今年早些时候,与朝鲜有联系的 Lazarus Group 部署了也利用以太坊合约的恶意软件,尽管他们的具体实施与最近的 NPM 攻击有所不同。
在四月,攻击者创建了一个伪造的 GitHub 仓库,伪装成 Solana 交易机器人项目。
伪造的仓库被用来分发恶意软件,专门设计用于窃取受害者的加密货币钱包凭据。
另一个案例涉及"Bitcoinlib",这是一个用于比特币开发工作的 Python 库。黑客针对这个合法的开发工具进行类似的凭据盗窃目的。
该模式显示网络犯罪分子持续针对与加密货币相关的开发工具和开源仓库。这些环境为攻击提供了理想条件,因为开发者经常与新、陌生的代码库和工具一起工作。
理解区块链和智能合约技术
智能合约是运行在以太坊等区块链网络上的自执行程序。它们无需人工干预或传统中介机构监管即可自动执行预定条件。
这些合约将数据永久存储在区块链上,使其可在全球任何地方访问。区块链网络的去中心化性质意味着一旦部署,移除恶意内容变得极为困难。
指挥和控制服务器是网络犯罪分子用来与受感染设备通信的计算机系统。通过在区块链网络中存储服务器地址,攻击者创建了更难以被安全团队干扰或监控的通信渠道。
最后的想法
在以太坊智能合约中隐藏恶意软件命令的发现标志着网络犯罪策略的显著演变,攻击者越来越多地利用区块链技术来躲避检测系统。Valentić 强调,网络犯罪分子不断寻找新方法来绕过安全防御,基于区块链的命令存储成为他们在领先于网络安全措施方面的最新创新。