マルウェアがイーサリアムのスマートコントラクトを利用して検出を回避する

悪意のあるアクターは、イーサリアムのスマートコントラクトを介してマルウェアを配布するための高度な手法を開発し、従来のセキュリティシステムを回避しました。このサイバー攻撃の進化は、ReversingLabsのサイバーセキュリティ研究者によって特定され、オープンソースの新しいマルウェアがリポジトリNode Package Manager (NPM)で発見されました。これは、広範なJavaScriptのパッケージとライブラリのコレクションです。

ReversingLabsの研究者、ルチヤ・ヴァレンティッチは、最近の投稿で、「colortoolsv2」と「mimelib2」と呼ばれる悪意のあるパッケージが、悪意のあるコマンドを隠すためにイーサリアムのスマートコントラクトを利用していると指摘しました。これらのパッケージは7月に公開され、直接悪意のあるリンクをホストするのではなく、スマートコントラクトからコマンドおよび制御サーバーのアドレスを取得するダウンローダーとして機能します。このアプローチは、ブロックチェーンのトラフィックが正当なものとして見えるため、検出の努力を複雑にし、マルウェアが侵害されたシステムにダウンロードソフトウェアをインストールできるようにします。

革新的な回避技術

イーサリアムのスマートコントラクトを使用して、悪意のあるコマンドが存在するURLをホストすることは、マルウェアの実装における新しい技術を示しています。ヴァレンティッチは、この方法が検出回避戦略において重要な変化を示すことを観察しました。悪意のあるアクターは、オープンソースのリポジトリや開発者をますます利用しています。この戦術は、今年初めに北朝鮮に関連するラザルスグループによって以前に採用されましたが、現在のアプローチは攻撃ベクトルの急速な進化を示しています。

精巧な詐欺キャンペーン

悪意のあるパッケージは、主にGitHubを通じて運営されるより広範な詐欺キャンペーンの一部です。悪意のある行為者は、暗号通貨の取引ボットの偽のリポジトリを作成し、偽のコミット、偽のユーザーアカウント、複数のメンテナーアカウント、プロジェクトの説明や専門的な外観のドキュメントを用いて信頼性を装っています。この巧妙なソーシャルエンジニアリング戦略は、ブロックチェーン技術と欺瞞的な慣行を組み合わせて、従来の検出方法を回避することを目指しています。

2024年、セキュリティ研究者はオープンソースコードリポジトリに関連する23の悪意のあるキャンペーンを文書化しました。しかし、この最新の攻撃ベクトルは、リポジトリへの攻撃の進化を際立たせています。イーサリアムに加えて、同様の戦術が他のプラットフォームでも使用されており、Solanaのトレーディングボットを装った偽のGitHubリポジトリが、暗号通貨のウォレットの認証情報を盗むためにマルウェアを配布していました。同様に、ハッカーはビットコインの開発を容易にするために設計されたオープンソースのPythonライブラリ「Bitcoinlib」を攻撃し、これらのサイバー脅威の多様で適応的な性質を示しています。

暗号化脅威保護

この種の脅威からデジタル資産を保護するために、ユーザーは未確認のソースからソフトウェアをダウンロードしないことを避け、最新のウイルス対策プログラムを使用する必要があります。二要素認証などの強固なセキュリティ対策を実施し、フィッシングの試みに対して警戒を怠らないことが推奨されます。さらなるセキュリティのために、秘密鍵をオフラインに保ち、この種の高度な攻撃に対する追加の保護層を提供するハードウェアウォレットの使用を検討してください。

この攻撃手法の進化は、特にオープンソースのコードリポジトリと暗号通貨関連のソフトウェアをダウンロードする際に、暗号エコシステムにおいて厳格なセキュリティ対策を維持する重要性を強調しています。