Selon des rapports récents, les cybercriminels ont développé une stratégie sophistiquée pour distribuer des logiciels malveillants via des smart contracts sur le réseau Ethereum, contournant ainsi les systèmes de sécurité conventionnels. Cette technique d'attaque innovante a été découverte par l'équipe de recherche de ReversingLabs, qui a identifié de nouveaux paquets de malware open source dans le dépôt de Node Package Manager (NPM), une vaste bibliothèque de ressources JavaScript.

Lucija Valentić, chercheuse chez ReversingLabs, a révélé dans une publication que les paquets malveillants, appelés "colortoolsv2" et "mimelib2", utilisent des smart contracts sur Ethereum pour dissimuler des instructions nuisibles. Ces paquets, lancés en juillet, agissent comme des téléchargeurs qui obtiennent les adresses des serveurs de contrôle depuis des smart contracts, au lieu de contenir directement des liens malveillants. Cette méthodologie rend la détection plus difficile, car les transactions sur la chaîne de blocs semblent légitimes, permettant au malware d'installer des logiciels supplémentaires sur les systèmes affectés.

L'utilisation de smart contracts Ethereum pour stocker des URLs contenant des commandes malveillantes représente une innovation dans la distribution de malware. Valentić a souligné que cette tactique marque un changement significatif dans les stratégies d'évasion, montrant comment les acteurs malveillants exploitent de plus en plus les dépôts de code ouvert et les développeurs. Cette technique, précédemment employée par le Groupe Lazarus au début de l'année, démontre une rapide évolution dans les méthodes d'attaque.

Les paquets malveillants font partie d'une campagne de tromperie plus large qui opère principalement via GitHub. Les attaquants ont créé de faux dépôts de bots de trading de cryptomonnaies, leur donnant de la crédibilité grâce à des commits fabriqués, des profils d'utilisateur fictifs, plusieurs comptes de mainteneurs et des descriptions de projets apparemment professionnels. Cette stratégie élaborée d'ingénierie sociale vise à échapper aux méthodes de détection traditionnelles en combinant la technologie blockchain avec des pratiques trompeuses.

Au cours de l'année 2024, les experts en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies dans des dépôts de code open source. Cependant, ce dernier vecteur d'attaque souligne l'évolution constante des menaces ciblant les dépôts. Au-delà d'Ethereum, des tactiques similaires ont été observées sur d'autres plateformes, comme un faux dépôt sur GitHub se faisant passer pour un bot de trading de Solana et distribuant du malware pour voler les identifiants des wallets de cryptomonnaies. De plus, les hackers ont attaqué "Bitcoinlib", une bibliothèque Python open source conçue pour faciliter le développement sur Bitcoin, ce qui illustre la nature diverse et adaptable de ces menaces cybernétiques.