最近の報告によると、サイバー犯罪者はイーサリアムネットワーク上でスマートコントラクトを介してマルウェアを配布するための高度な戦略を開発しており、これにより従来のセキュリティシステムを回避しています。この革新的な攻撃手法は、ReversingLabsの研究チームによって発見され、彼らはNode Package Manager (NPM)のリポジトリにおける新しいオープンソースのマルウェアパッケージを特定しました。

ルチア・ヴァレンティッチ、ReversingLabsの研究者は、投稿で「colortoolsv2」と「mimelib2」と呼ばれるマルウェアパッケージが、イーサリアムのスマートコントラクトを利用して有害な指示を隠蔽していることを明らかにしました。これらのパッケージは7月にリリースされ、スマートコントラクトからコントロールサーバーのアドレスを取得するダウンローダーとして機能し、直接的な悪意のあるリンクを含んでいません。この手法は、ブロックチェーン上のトランザクションが合法であるように見えるため、検出を困難にし、マルウェアが影響を受けたシステムに追加のソフトウェアをインストールできるようにします。

イーサリアムのスマートコントラクトを利用して、マルウェアを含むコマンドを格納したURLを保存することは、マルウェアの配布における革新を表しています。バレンティッチは、この戦術が回避戦略における重要な変化を示しており、悪意のある行為者がオープンソースのリポジトリや開発者をますます利用していることを明らかにしています。今年初めにラザルスグループによって以前に使用されたこの技術は、攻撃手法の迅速な進化を示しています。

悪意のあるパッケージは、主にGitHubを通じて運営されるより広範な欺瞞キャンペーンの一部です。攻撃者は、仮想通貨の取引ボットの偽リポジトリを作成し、偽のコミット、架空のユーザープロフィール、複数のメンテナーアカウント、そして一見プロフェッショナルなプロジェクト説明を用いて信頼性を持たせています。この精巧なソーシャルエンジニアリング戦略は、ブロックチェーン技術を巧妙な手法と組み合わせることで、従来の検出方法を回避しようとしています。

2024年、セキュリティ専門家はオープンソースのコードリポジトリに関連する23の悪意のあるキャンペーンを記録しました。しかし、この最新の攻撃ベクトルは、リポジトリをターゲットにした脅威が常に進化していることを強調しています。イーサリアムを超えて、他のプラットフォームでも同様の戦術が観察されており、GitHub上の偽のリポジトリがソラナのトレーディングボットを装い、クリプトウォレットの認証情報を盗むためのマルウェアを配布していました。さらに、ハッカーはビットコインの開発を容易にするために設計されたオープンソースのPythonライブラリ「Bitcoinlib」を攻撃しており、これらのサイバー脅威の多様で適応可能な性質を示しています。