Les Smart Contracts Ethereum deviennent le dernier Spot caché pour les malwares

J'ai remarqué une tendance inquiétante où des hackers exploitent maintenant les smart contracts Ethereum pour dissimuler des commandes de malware, créant un cauchemar pour les professionnels de la cybersécurité comme moi.

Ce qui est particulièrement frustrant, c'est la façon dont ces attaquants se cachent au sein d'un trafic blockchain ayant l'apparence légitime, rendant mon travail de détection presque impossible.

Une nouvelle vecteur d'attaque apparaît

ReversingLabs a récemment découvert deux packages apparemment innocents sur le dépôt NPM - “colortoolsv2” et “mimelib2” - qui extraient secrètement des instructions des smart contracts Ethereum.

Ces paquets malveillants n'étaient pas typiques. Au lieu d'héberger des liens nuisibles directement, ils fonctionnaient comme des téléchargeurs, récupérant des adresses de serveurs de commande et de contrôle avant d'installer des malwares secondaires.

“C'est quelque chose que nous n'avons pas vu auparavant,” a déclaré Lucija Valentić de ReversingLabs. Je suis choqué de voir à quelle vitesse les attaquants adaptent leurs méthodes pour échapper à nos protocoles de sécurité.

Bots de Trading Falsifiés et Astuces Sociales

Ce n'est pas juste une tentative isolée. Les paquets faisaient partie d'une campagne de tromperie plus large se déroulant principalement sur GitHub.

J'ai examiné moi-même ces faux dépôts de bots de trading de cryptomonnaie - ils sont troublants de réalisme avec des commits fabriqués, plusieurs faux profils de mainteneurs et une documentation soignée conçue pour piéger les développeurs. L'attention portée aux détails dans la création de projets ayant l'apparence de la confiance tout en dissimulant leur intention malveillante est presque impressionnante.

Au cours de 2024, nous avons documenté 23 campagnes malveillantes liées aux cryptomonnaies ciblant des dépôts open source. Cette dernière tactique combinant des commandes blockchain avec de l'ingénierie sociale augmente considérablement la difficulté de la défense.

Plus tôt cette année, le groupe Lazarus de la Corée du Nord a déployé un malware basé sur des contrats Ethereum similaire en utilisant différentes techniques. D'autres incidents comprenaient un faux dépôt GitHub de bot de trading Solana qui a volé des identifiants de portefeuille, et la bibliothèque Python compromise “Bitcoinlib”.

Le schéma est indéniable : les outils de développement cryptographique et les dépôts open-source sont devenus des terrains de chasse. Les fonctionnalités de la blockchain comme les smart contracts ne font qu'aggraver les efforts de détection.

L'évaluation de Valentić est pertinente - les attaquants cherchent constamment de nouvelles façons de contourner nos défenses. L'utilisation de smart contracts Ethereum pour des commandes malveillantes démontre leur innovation incessante pour devancer les mesures de sécurité.

Image en vedette de Meta, graphique de TradingView

Avertissement : À des fins d'information uniquement. Les performances passées ne sont pas indicatives des résultats futurs.