Шкідливе ПЗ Використовує Смарт-контракти Ethereum для Уникнення Виявлення

Зловмисники розробили складний метод для розповсюдження шкідливих програм через смартконтракти Ethereum, оминаючи традиційні системи безпеки. Цю еволюцію в кібератаках виявили дослідники з кібербезпеки ReversingLabs, які знайшли нове шкідливе програмне забезпечення з відкритим кодом у репозиторії Node Package Manager (NPM), великій колекції пакетів і бібліотек JavaScript.

Дослідниця ReversingLabs, Люція Валентиć, підкреслила в нещодавній публікації, що шкідливі пакети, що отримали назву "colortoolsv2" та "mimelib2", використовують смартконтракти Ethereum для приховування шкідливих команд. Ці пакети, опубліковані в липні, працюють як завантажувачі, які отримують адреси серверів командного та контрольного центру з смартконтрактів, замість того, щоб безпосередньо розміщувати шкідливі посилання. Такий підхід ускладнює зусилля з виявлення, оскільки трафік блокчейну виглядає легітимним, що дозволяє шкідливим програмам встановлювати завантажувальне програмне забезпечення на скомпрометовані системи.

Інноваційна техніка ухилення

Використання смартконтрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, є новою технікою в реалізації шкідливих програм. Валентич спостерігав, що цей метод є значним зміною в стратегіях уникнення виявлення, оскільки зловмисники все більше експлуатують відкриті репозиторії коду та розробників. Цю тактику раніше використовувала група Lazarus, пов'язана з Північною Кореєю, на початку цього року, але нинішній підхід демонструє швидку еволюцію вектора атак.

Складена кампанія обману

Шкідливі пакети є частиною більш широкої кампанії обману, яка працює переважно через GitHub. Шкідливі актори створили фальшиві репозиторії ботів для торгівлі криптовалютами, представляючи їх як надійні за допомогою підроблених комітів, фальшивих облікових записів користувачів, кількох облікових записів утримувачів та описів проектів і документації професійного вигляду. Ця розроблена стратегія соціальної інженерії намагається уникнути традиційних методів виявлення, поєднуючи технологію blockchain з обманними практиками.

У 2024 році дослідники безпеки задокументували 23 шкідливі кампанії, пов'язані з криптовалютами, в репозиторіях з відкритим кодом. Однак цей останній вектор атаки підкреслює постійну еволюцію атак на репозиторії. Крім Ethereum, подібні тактики використовувалися в інших платформах, таких як фальшивий репозиторій GitHub, який видавав себе за торгового бота Solana, розповсюджуючи шкідливі програми для крадіжки облікових даних криптовалютних гаманців. Крім того, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, розроблену для полегшення розробки Bitcoin, ілюструючи різноманітну та адаптивну природу цих кіберзагроз.

Захист від криптографічних загроз

Щоб захистити свої цифрові активи від цього виду загроз, користувачі повинні уникати завантаження програмного забезпечення з неперевірених джерел і використовувати оновлені антивірусні програми. Рекомендується впроваджувати надійні заходи безпеки, такі як двофакторна автентифікація, та бути пильними щодо спроб фішингу. Для більшої безпеки розгляньте можливість використання апаратних гаманців, які зберігають приватні ключі офлайн і пропонують додатковий рівень захисту від цього виду складних атак.

Ця еволюція в атаках підкреслює важливість дотримання суворих практик безпеки в криптоекосистемі, особливо під час взаємодії з репозиторіями відкритого коду та завантаженням програмного забезпечення, пов'язаного з криптовалютами.