イーサリアム スマートコントラクトが武器化: 新しいマルウェア回避技術が発見されました

新しい攻撃ベクトルはブロックチェーン技術を活用

ReversingLabsのセキュリティ研究者は、Ethereumスマートコントラクトを悪用してマルウェアを配信し、従来のセキュリティシステムを回避する新たなサイバーセキュリティ脅威を特定しました。この高度な手法は、脅威アクターが正当なブロックチェーンインフラストラクチャを利用して検出メカニズムを回避する方法における重要な進化を表しています。

攻撃方法のテクニカル分析

新たに発見されたマルウェアパッケージは、「colortoolsv2」と「mimelib2」として特定され、2023年7月にNode Package Manager (NPM)リポジトリに公開されました。これらのパッケージは、悪意のあるリンクを直接埋め込むのではなく、Ethereumスマートコントラクトを仲介として利用する革新的なアプローチを採用しています。

研究者ルチア・ヴァレンティッチによると、これらの悪意のあるパッケージはダウンローダーとして機能し、スマートコントラクトからコマンドおよびコントロールサーバーのアドレスを取得します。この方法は、ブロックチェーンのトラフィックが一般的にセキュリティスキャンツールに対して正当なものに見えるため、追加の難読化レイヤーを作成します。インストールされると、マルウェアは侵害されたシステムに追加の有害なソフトウェアをダウンロードすることができます。

ここでの技術革新は、マルウェアが悪意のあるURLの「デッドドロップ」としてスマートコントラクトを利用できる能力にあり、検出作業を大幅に複雑にしています。このアプローチは、ブロックチェーン取引に対してしばしば置かれる固有の信頼を利用し、正当なスマートコントラクトの相互作用と悪意のあるものを区別することの難しさを利用しています。

洗練されたソーシャルエンジニアリングキャンペーン

マルウェアの配布は、主にGitHubを通じて実行されている広範な欺瞞作戦の一部です。脅威アクターは、信頼性を確立するために設計された複数の要素を持つ精巧な偽の暗号通貨取引ボットリポジトリを作成しました:

• 改ざんされたコミット履歴
• 偽のユーザーアカウントのネットワーク
• 複数のメンテナープロフィール
• プロフェッショナルな見た目のプロジェクトドキュメント
• 詳細な技術解説

この包括的なソーシャルエンジニアリング戦略は、ブロックチェーン技術と欺瞞的な手法を組み合わせて、従来の妥協指標に依存するセキュリティプロトコルを回避します。

暗号関連攻撃の広範なトレンド

この手法は、今年初めに北朝鮮関連のラザルスグループによって以前に使用された方法と類似していますが、現在の実装は攻撃の洗練度の急速な進化を示しています。セキュリティ研究者は、2024年だけでオープンソースリポジトリを標的とした23の別々の暗号関連の悪意あるキャンペーンを文書化しています。

イーサリアムを超えて、他のブロックチェーンエコシステムでも同様の手法が現れています。ソラナの取引ボットを装った偽のGitHubリポジトリが最近、暗号通貨ウォレットの認証情報を盗むために設計されたマルウェアを配布していることが発見されました。さらに、ハッカーはビットコイン開発のためのオープンソースPythonライブラリである「Bitcoinlib」を標的にし、これらの脅威行為者の適応能力をさらに示しています。

ユーザーに対するセキュリティの影響

ブロックチェーン技術を利用したマルウェアの増加傾向は、暗号通貨のユーザーと開発者の両方にとって重大な課題を提示しています。これらの攻撃で使用される技術的アプローチは、悪意のある活動が正当なブロックチェーン操作と融合するため、従来の検出方法の効果を低下させます。

ブロックチェーンプラットフォームと統合する開発者にとって、これはすべてのパッケージと依存関係の徹底的な検証を含む包括的なセキュリティプラクティスの重要性を強調しています。エンドユーザーは、GitHubのようなコードリポジトリを通じて正当であるように見える場合でも、取引ボットや他の暗号通貨ツールをダウンロードする際には、より慎重に行動する必要があります。

この攻撃ベクトルは、暗号通貨の脅威の状況における懸念すべき進化を示しています。悪意のある行為者は、セキュリティ対策を回避するために、ブロックチェーン技術の独自の特性を利用する手法を適応し続けています。