Segundo relatórios recentes, os cibercriminosos desenvolveram uma estratégia sofisticada para distribuir software malware através de contratos inteligentes na rede Ethereum, burlando assim os sistemas de segurança convencionais. Esta técnica inovadora de ataque foi descoberta pela equipe de pesquisa da ReversingLabs, que identificou novos pacotes de malware de código aberto no repositório do Node Package Manager (NPM), uma extensa biblioteca de recursos JavaScript.

Lucija Valentić, investigadora de ReversingLabs, revelou numa publicação que os pacotes maliciosos, denominados "colortoolsv2" e "mimelib2", empregam contratos inteligentes em Ethereum para encobrir instruções prejudiciais. Estes pacotes, lançados em julho, atuam como descarregadores que obtêm os endereços dos servidores de controle a partir de contratos inteligentes, em vez de conter links maliciosos diretamente. Esta metodologia dificulta a deteção, uma vez que as transações na cadeia de blocos aparentam ser legítimas, permitindo ao malware instalar software adicional nos sistemas afetados.

A utilização de contratos inteligentes de Ethereum para armazenar URLs que contêm comandos maliciosos representa uma inovação na distribuição de malware. Valentić apontou que essa tática marca uma mudança significativa nas estratégias de evasão, evidenciando como os atores maliciosos exploram cada vez mais os repositórios de código aberto e os desenvolvedores. Essa técnica, previamente empregue pelo Grupo Lazarus no início do ano, demonstra uma rápida evolução nos métodos de ataque.

Os pacotes maliciosos fazem parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os atacantes criaram repositórios falsos de bots de trading de criptomoedas, dotando-os de credibilidade através de commits fabricados, perfis de usuário fictícios, múltiplas contas de mantenedores e descrições de projetos aparentemente profissionais. Esta elaborada estratégia de engenharia social busca evadir os métodos de deteção tradicionais ao combinar a tecnologia blockchain com práticas enganosas.

Durante o ano de 2024, os especialistas em segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque sublinha a constante evolução das ameaças dirigidas a repositórios. Para além do Ethereum, foram observadas táticas semelhantes em outras plataformas, como um repositório falso no GitHub que se fazia passar por um bot de trading de Solana e distribuía malware para roubar credenciais de wallets de criptomoedas. Adicionalmente, os hackers atacaram "Bitcoinlib", uma biblioteca de Python de código aberto projetada para facilitar o desenvolvimento em Bitcoin, o que ilustra a natureza diversa e adaptável destas ameaças cibernéticas.