Theo các báo cáo gần đây, các tội phạm mạng đã phát triển một chiến lược tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh trên mạng Ethereum, từ đó vượt qua các hệ thống an ninh thông thường. Kỹ thuật tấn công đổi mới này đã được phát hiện bởi nhóm nghiên cứu của ReversingLabs, những người đã xác định các gói malware mã nguồn mở mới trong kho lưu trữ Node Package Manager (NPM), một thư viện tài nguyên JavaScript rộng lớn.

Lucija Valentić, nhà nghiên cứu của ReversingLabs, đã tiết lộ trong một bài đăng rằng các gói phần mềm độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh trên Ethereum để che giấu các hướng dẫn gây hại. Các gói này, được phát hành vào tháng 7, hoạt động như những trình tải xuống thu thập địa chỉ của các máy chủ điều khiển từ các hợp đồng thông minh, thay vì chứa các liên kết độc hại trực tiếp. Phương pháp này làm khó khăn cho việc phát hiện, vì các giao dịch trên chuỗi khối có vẻ hợp pháp, cho phép phần mềm độc hại cài đặt thêm phần mềm vào các hệ thống bị ảnh hưởng.

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ các URL chứa các lệnh độc hại đại diện cho một sự đổi mới trong việc phân phối phần mềm độc hại. Valentić đã chỉ ra rằng chiến thuật này đánh dấu một sự thay đổi đáng kể trong các chiến lược né tránh, cho thấy cách mà các tác nhân độc hại ngày càng khai thác các kho mã nguồn mở và các nhà phát triển. Kỹ thuật này, trước đây được Nhóm Lazarus sử dụng vào đầu năm, cho thấy sự tiến hóa nhanh chóng trong các phương pháp tấn công.

Các gói phần mềm độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn hoạt động chủ yếu qua GitHub. Các kẻ tấn công đã tạo ra các kho lưu trữ giả mạo của bot giao dịch tiền điện tử, trang bị cho chúng độ tin cậy thông qua các cam kết giả mạo, hồ sơ người dùng ảo, nhiều tài khoản duy trì và mô tả dự án dường như chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm tránh các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các thực hành lừa đảo.

Trong năm 2024, các chuyên gia an ninh đã ghi nhận 23 chiến dịch phần mềm độc hại liên quan đến tiền điện tử trong các kho mã nguồn mở. Tuy nhiên, vectơ tấn công gần đây này nhấn mạnh sự tiến hóa liên tục của các mối đe dọa hướng đến các kho lưu trữ. Ngoài Ethereum, đã có những chiến thuật tương tự được quan sát thấy trên các nền tảng khác, chẳng hạn như một kho lưu trữ giả mạo trên GitHub giả danh là một bot giao dịch Solana và phân phối phần mềm độc hại để đánh cắp thông tin xác thực của ví tiền điện tử. Thêm vào đó, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để hỗ trợ phát triển trên Bitcoin, điều này minh họa cho tính đa dạng và khả năng thích ứng của những mối đe dọa mạng này.