网络犯罪分子已开始使用 Ethereum 智能合约隐藏恶意软件命令,给安全团队带来新挑战,因为攻击者利用区块链技术逃避检测系统。数字资产合规公司 ReversingLabs 在分析了七月上传到 Node 包管理器库的两个恶意包后,发现了该技术。
这种方法允许黑客将其活动与合法的区块链流量混合,使得恶意操作显著更难以识别和阻止。
需要知道的事情:
- 两个名为 "colortoolsv2" 和 "mimelib2" 的 NPM 包使用以太坊智能合约来获取恶意服务器地址,然后安装第二阶段恶意软件。
- 2024年,仅在开源库中就记录了23个与加密相关的恶意活动。
- 与朝鲜有关的 Lazarus 集团此前曾使用过类似的基于区块链的恶意软件分发方法。
新的分发方法利用区块链基础设施
ReversingLabs 识别 的包看起来似乎合法,但包含了设计用来从以太坊智能合约拉取指令的隐藏功能。与其直接托管恶意链接,该软件作为下载器来获取命令与控制服务器的地址。
ReversingLabs 的研究员 Lucija Valentić 表示,在以太坊合约上托管恶意 URLs 代表着一种前所未有的方法。Valentić 说:“这是我们以前没有见过的”,描述了这种发展是攻击者绕过安全扫描系统的快速进化。
这种技术利用了区块链流量在安全软件中往往看似合法的事实。传统的检测方法难以区分正常的智能合约操作和用于恶意目的的操作。
假冒交易机器人作为主要的攻击向量
恶意包是通过 GitHub 库进行的更广泛的欺骗活动的一部分。攻击者构建了假的加密货币交易机器人项目,配有虚假的提交历史、多个假维护者账户和专业文档,旨在吸引开发人员。
这些库被设计得看起来可信,同时作为恶意软件安装的传递机制。这些假项目的复杂性展示了网络犯罪分子在发起攻击前建立信誉的努力程度。
安全分析师已确认,这种结合基于区块链的命令存储和社交工程方法的形式是攻击复杂度的大幅升级。此方法使得对于网络安全团队来说,检测变得更加困难,他们现在必须同时监视传统的攻击向量和基于区块链的通信。
针对 Node 包管理器的活动仅代表影响开源开发社区的一个更大趋势的一部分。攻击者特别针对这些环境,因为开发人员通常在没有彻底的安全审查的情况下安装包。
之前的基于区块链的攻击目标是加密货币项目
以太坊不是唯一用于恶意软件分发的区块链网络。今年早些时候,与朝鲜有关的 Lazarus 集团部署了同样利用以太坊合约的恶意软件,虽然他们的具体实施与最近的 NPM 攻击不同。
在四月,攻击者创建了一个伪造的 GitHub 库,该库冒充 Solana 交易机器人项目。
该假库用于分发特定设计用来窃取受害者加密货币钱包凭据的恶意软件。
另一项纪录的案例涉及“Bitcoinlib”,一个为比特币开发而设计的 Python 库。黑客针对这个合法的开发工具进行类似的凭证盗窃。
模式显示网络犯罪分子不断地针对与加密货币相关的开发工具和开源库。这些环境为攻击提供了理想条件,因为开发人员通常在与新和不熟悉的代码库和工具中工作。
了解区块链和智能合约技术
智能合约是运行在以太坊这样的区块链网络上的自执行程序。它们在没有人类干预或传统中介监控的情况下自动执行预定条件。
这些合约将数据永久存储在区块链上,使其可以从世界各地访问。区块链网络的去中心化特性意味着一旦恶意内容被部署,移除就变得极其困难。
命令与控制服务器是网络犯罪分子用来与受感染设备通信的计算机系统。通过在区块链网络上存储服务器地址,攻击者创建了更难被安全团队破坏或监控的通信渠道。
结语
在以太坊智能合约中隐藏恶意软件命令的发现,标志着网络犯罪分子的策略出现了重大演进,因为攻击者日益利用区块链技术来逃避检测系统。Valentić 强调,网络犯罪分子不断寻求新的方法来绕过安全防御,基于区块链的命令存储代表了他们在保持领先于网络安全措施的最新创新。