إثيريوم العقد الذكي مسلح: تقنية جديدة للتخفي من البرمجيات الخبيثة تم اكتشافها

ناقل الهجوم جديد يستفيد من تقنية البلوكتشين

حدد باحثو الأمن في ReversingLabs تهديدًا جديدًا ومقلقًا في مجال الأمن السيبراني يستغل العقود الذكية على إيثريوم لتوزيع برامج ضارة بينما يتجنب أنظمة الأمان التقليدية. تمثل هذه التقنية المتطورة تطورًا كبيرًا في كيفية تفادي المهاجمين آليات الكشف من خلال استخدام بنية تحتية شرعية للبلوكتشين.

التحليل الفني لطريقة الهجوم

تم نشر حزم البرمجيات الخبيثة المكتشفة حديثًا، والتي تم تحديدها على أنها "colortoolsv2" و"mimelib2"، على مستودع مدير حزم العقد (NPM) في يوليو. تستخدم هذه الحزم نهجًا مبتكرًا في نشر البرمجيات الخبيثة من خلال استخدام عقود إيثيريوم الذكية كوسائط بدلاً من تضمين الروابط الخبيثة مباشرة.

وفقًا للباحثة لوسيا فالنتيتش، فإن هذه الحزم الضارة تعمل كأدوات تحميل تسترجع عناوين خوادم التحكم والأوامر من العقود الذكية. هذه الطريقة تخلق طبقة إضافية من التعتيم، حيث يبدو أن حركة مرور البلوكتشين عمومًا مشروعة لأدوات فحص الأمان. بمجرد تثبيتها، يمكن للبرامج الضارة أن تتابع تحميل برامج ضارة إضافية على الأنظمة المت compromised.

تتمثل الابتكار الفني هنا في قدرة البرمجيات الخبيثة على استخدام العقود الذكية ك"نقاط تسليم" لروابط خبيثة، مما يعقد جهود الكشف بشكل كبير. تستغل هذه الطريقة الثقة الكامنة التي غالبًا ما توضع في معاملات البلوكتشين وصعوبة التمييز بين التفاعلات المشروعة والخبيثة للعقود الذكية.

حملة هندسة اجتماعية متطورة

توزيع البرمجيات الخبيثة هو جزء من عملية خداع أوسع تجري أساسًا عبر GitHub. قام الفاعلون بالتهديد بإنشاء مستودعات وهمية معقدة لروبوتات تداول العملات المشفرة تحتوي على عناصر متعددة تهدف إلى إنشاء مصداقية:

• تاريخ الالتزامات المصنع
• شبكات من حسابات مستخدمين مزيفين
• ملفات تعريف متعددة للصيانة
• توثيق مشروع يبدو احترافيا
• أوصاف تقنية مفصلة

تجمع هذه الاستراتيجية الشاملة للهندسة الاجتماعية بين تقنية البلوكتشين والممارسات الخادعة لتجاوز بروتوكولات الأمان التي تعتمد على مؤشرات الت compromise التقليدية.

الاتجاه الأوسع في الهجمات المتعلقة بالعملات المشفرة

توازي هذه التقنية الأساليب التي استخدمتها مجموعة لازاروس المرتبطة بكوريا الشمالية في وقت سابق من هذا العام، على الرغم من أن التنفيذ الحالي يظهر تطورًا سريعًا في تعقيد الهجمات. وثق الباحثون في الأمن 23 حملة خبيثة تتعلق بالتشفير تستهدف مستودعات المصدر المفتوح في عام 2024 فقط.

بجانب الإيثريوم، ظهرت تكتيكات مشابهة عبر أنظمة البلوكتشين الأخرى. تم العثور مؤخرًا على مستودع GitHub مزيف يتظاهر بأنه روبوت تداول سولانا يقوم بتوزيع البرامج الضارة المصممة لسرقة بيانات اعتماد محفظة العملات المشفرة. بالإضافة إلى ذلك، استهدف القراصنة "Bitcoinlib"، وهي مكتبة بايثون مفتوحة المصدر لتطوير البيتكوين، مما يوضح بشكل أكبر القدرة على التكيف لدى هؤلاء المهاجمين.

تداعيات الأمان على المستخدمين

تقدم الاتجاه المتزايد للبرمجيات الخبيثة التي تستفيد من تقنية البلوكتشين تحديات كبيرة لمستخدمي العملات المشفرة والمطورين على حد سواء. تجعل الطريقة التقنية المستخدمة في هذه الهجمات طرق الكشف التقليدية أقل فعالية، حيث تندمج الأنشطة الضارة مع العمليات الشرعية على البلوكتشين.

بالنسبة للمطورين الذين يدمجون مع منصات البلوكتشين، فإن هذا يبرز أهمية ممارسات الأمان الشاملة بما في ذلك التحقق الدقيق من جميع الحزم والاعتمادات. يجب على المستخدمين النهائيين ممارسة الحذر المتزايد عند تنزيل برامج التداول أو أدوات العملات المشفرة الأخرى، حتى عندما تبدو مشروعة من خلال مستودعات الكود مثل GitHub.

يمثل ناقل الهجوم هذا تطورًا مقلقًا في مشهد تهديدات العملات المشفرة، حيث يستمر الجهات الخبيثة في تعديل تقنياتهم لاستغلال الخصائص الفريدة لتكنولوجيا البلوكتشين للتهرب من تدابير الأمن.