イーサリアム スマートコントラクトが最新のマルウェア隠れ場所になる

私は、ハッカーがイーサリアムのスマートコントラクトを利用してマルウェアのコマンドを隠蔽するという不穏な傾向に気づきました。これは私のようなサイバーセキュリティ専門家にとって悪夢を生み出しています。

特に苛立たしいのは、これらの攻撃者が正当なブロックチェーンのトラフィックに隠れているため、彼らを検出する私の仕事がほぼ不可能になっているということです。

新しい攻撃ベクターが出現

ReversingLabsは最近、NPMリポジトリで二つの一見無害なパッケージ「colortoolsv2」と「mimelib2」を発見しました。これらは秘密裏にイーサリアムのスマートコントラクトから指示を取得していました。

これらはあなたの典型的な悪意のあるパッケージではありませんでした。直接的に有害なリンクをホストするのではなく、ダウンローダーとして機能し、コマンド・アンド・コントロールサーバーのアドレスを取得してから、二次マルウェアをインストールしました。

“それは以前には見たことがないことです,” とReversingLabsのルチア・ヴァレンティッチは言いました。私は、攻撃者が私たちのセキュリティプロトコルを回避するために方法をどれだけ迅速に適応させるかにショックを受けています。

偽のトレーディングボットとソーシャルトリック

これは単なる一回限りの試みではありません。これらのパッケージは、主にGitHubを通じて展開されたより広範な欺瞞キャンペーンの一部でした。

私はこれらの偽の暗号通貨取引ボットリポジトリを自分で調査しました - 彼らは作成されたコミット、複数の偽のメンテナープロフィール、開発者を罠にかけるために設計された洗練されたドキュメントで不気味に説得力があります。信頼できるプロジェクトを作成する際の細部への注意と悪意のある意図を隠すことは、ほとんど感心するほどです。

2024年を通じて、私たちはオープンソースリポジトリを標的とした23の暗号関連の悪意のあるキャンペーンを記録しました。この最新の戦術は、ブロックチェーンコマンドとソーシャルエンジニアリングを組み合わせており、防御の難易度を大幅に引き上げています。

今年の初め、北朝鮮のラザルスグループは、異なる技術を使用して類似のイーサリアム契約ベースのマルウェアを展開しました。他の事件には、ウォレットの認証情報を盗む偽のソラナ取引ボットのGitHubリポジトリや、侵害された「Bitcoinlib」Pythonライブラリが含まれます。

そのパターンは否定できない - 暗号開発者ツールとオープンソースリポジトリが狩場となっている。スマートコントラクトのようなブロックチェーン機能は、検出作業をさらに複雑にする。

ヴァレンティッチの評価は真実です - 攻撃者は常に私たちの防御を回避する新しい方法を探しています。イーサリアムのスマートコントラクトを悪意のあるコマンドに使用することは、セキュリティ対策を先取りする彼らの執拗な革新を示しています。

Metaのフィーチャー画像、TradingViewからのチャート

免責事項：情報提供のみを目的としています。過去のパフォーマンスは将来の結果を示すものではありません。