Эфир Смарт-контракты Взломаны: Новая техника уклонения от вредоносного ПО раскрыта

Новый Вектор атаки Использует Блокчейн Технологию

Исследователи безопасности в ReversingLabs выявили тревожную новую угрозу кибербезопасности, которая использует смарт-контракты Ethereum для доставки вредоносного программного обеспечения, обходя традиционные системы безопасности. Эта сложная техника представляет собой значительную эволюцию в том, как злоумышленники обходят механизмы обнаружения, используя законную инфраструктуру блокчейна.

Технический анализ метода атаки

Новые обнаруженные пакеты вредоносного ПО, идентифицированные как "colortoolsv2" и "mimelib2," были опубликованы в репозитории Node Package Manager (NPM) в июле. Эти пакеты используют инновационный подход к развертыванию вредоносного ПО, используя смарт-контракты Ethereum в качестве промежуточных звеньев, а не напрямую встраивая вредоносные ссылки.

Согласно исследователю Лусии Валентиć, эти вредоносные пакеты функционируют как загрузчики, которые получают адреса серверов командного и управляющего центра из смарт-контрактов. Этот метод создает дополнительный уровень сокрытия, так как трафик Блокчейн обычно выглядит законным для инструментов безопасности. После установки вредоносное ПО может продолжить загрузку дополнительного вредоносного программного обеспечения на скомпрометированные системы.

Техническое новшество заключается в способности вредоносного ПО использовать смарт-контракты в качестве "мертвых точек" для злонамеренных URL, что значительно усложняет усилия по обнаружению. Этот подход использует присущеe доверие, часто возлагаемое на транзакции в блокчейне, и трудности в различении легитимных и злонамеренных взаимодействий со смарт-контрактами.

Сложная кампания социального инжиниринга

Распространение вредоносного ПО является частью более широкой операции обмана, которая в основном осуществляется через GitHub. Угрожающее лицо создало сложные фальшивые репозитории торговых ботов для криптовалют с несколькими элементами, предназначенными для установления доверия:

• Поддельные истории коммитов
• Сети фальшивых учетных записей пользователей
• Несколько профилей поддерживающих
• Профессиональная документация проекта
• Подробные технические описания

Эта комплексная стратегия социального инжиниринга сочетает в себе технологии Блокчейн с обманными практиками для обхода протоколов безопасности, основанных на традиционных индикаторах компрометации.

Более широкий тренд в атаках, связанных с криптовалютами

Эта техника аналогична методам, ранее использованным группой Лазарь, связанной с Северной Кореей, в начале этого года, хотя текущая реализация демонстрирует быстрое развитие в сложности атак. Исследователи в области безопасности зафиксировали 23 отдельных крипто-связанных вредоносных кампании, нацеленных на репозитории с открытым исходным кодом, только в 2024 году.

Помимо Эфириума, аналогичные тактики появились и в других экосистемах Блокчейн. Недавно был найден поддельный репозиторий GitHub, выдающий себя за торгового бота Solana, который распространял вредоносное ПО, предназначенное для кражи учетных данных криптовалютных кошельков. Кроме того, хакеры нацелились на "Bitcoinlib", открытую библиотеку Python для разработки Bitcoin, что ещё раз демонстрирует адаптивность этих злоумышленников.

Последствия безопасности для пользователей

Растущая тенденция использования вредоносного ПО, использующего технологии Блокчейн, представляет собой значительные проблемы как для пользователей криптовалют, так и для разработчиков. Технический подход, используемый в этих атаках, делает традиционные методы обнаружения менее эффективными, так как вредоносная деятельность сливается с легитимными операциями в Блокчейн.

Для разработчиков, интегрирующихся с платформами Блокчейн, это подчеркивает важность комплексных практик безопасности, включая тщательную проверку всех пакетов и зависимостей. Конечные пользователи должны проявлять повышенную осторожность при загрузке торговых ботов или других инструментов криптовалюты, даже если они кажутся законными через репозитории кода, такие как GitHub.

Этот вектор атаки представляет собой тревожную эволюцию в угрозах криптовалюты, поскольку злонамеренные актеры продолжают адаптировать свои методы для использования уникальных характеристик Блокчейн-технологии с целью уклонения от мер безопасности.