Os Contratos Inteligentes Ethereum Tornam-se o Último Ponto de Esconderijo para Malware

Notei uma tendência perturbadora onde hackers estão agora a explorar contratos inteligentes Ethereum para ocultar comandos de malware, criando um pesadelo para profissionais de cibersegurança como eu.

O que é particularmente frustrante é como esses atacantes se escondem dentro de tráfego de blockchain com aparência legítima, tornando meu trabalho de detectá-los quase impossível.

Novo Vetor de Ataque Surge

A ReversingLabs descobriu recentemente dois pacotes aparentemente inocentes no repositório NPM - “colortoolsv2” e “mimelib2” - que secretamente puxavam instruções de contratos inteligentes Ethereum.

Estes não eram os pacotes maliciosos típicos. Em vez de hospedar links prejudiciais diretamente, funcionavam como descarregadores, buscando endereços de servidores de comando e controlo antes de instalar malware secundário.

“Isso é algo que não vimos anteriormente,” disse Lucija Valentić da ReversingLabs. Estou chocada com a rapidez com que os atacantes adaptam seus métodos para evitar nossos protocolos de segurança.

Bots de Negociação Falsos e Truques Sociais

Isto não é apenas uma tentativa isolada. Os pacotes faziam parte de uma campanha de engano mais ampla que decorreu principalmente através do GitHub.

Examinei eu mesmo esses repositórios falsos de bots de negociação de criptomoedas - eles são disturbadoramente convincentes, com commits fabricados, múltiplos perfis falsos de mantenedores e documentação sofisticada projetada para capturar desenvolvedores. A atenção aos detalhes na criação de projetos que parecem confiáveis enquanto escondem sua intenção maliciosa é quase impressionante.

Ao longo de 2024, documentámos 23 campanhas maliciosas relacionadas com criptomoedas que visam repositórios de código aberto. Esta última tática que combina comandos de blockchain com engenharia social aumenta significativamente a dificuldade de defesa.

No início deste ano, o Grupo Lazarus da Coreia do Norte implementou malware semelhante baseado em contratos Ethereum usando técnicas diferentes. Outros incidentes incluíram um repositório no GitHub de um bot de negociação Solana falso que roubou credenciais de carteira, e a biblioteca Python “Bitcoinlib” comprometida.

O padrão é inegável - ferramentas de desenvolvimento de cripto e repositórios de código aberto tornaram-se terrenos de caça. Recursos de blockchain como contratos inteligentes apenas complicam os esforços de detecção.

A avaliação de Valentić é verdadeira - os atacantes estão constantemente à procura de novas maneiras de contornar as nossas defesas. Usar contratos Ethereum para comandos maliciosos demonstra a sua inovação implacável em se manter à frente das medidas de segurança.

Imagem em destaque da Meta, gráfico da TradingView

Aviso: Apenas para fins informativos. O desempenho passado não é indicativo de resultados futuros.