Neue Methoden der Bedrohungsakteure
Bedrohungsakteure haben eine neue Methode entwickelt, um bösartige Software, Befehle und Links innerhalb von Ethereum-Smart Contracts zu verstecken, um Sicherheitsprüfungen zu umgehen. Cybersecurity-Forscher der Compliance-Firma ReversingLabs für digitale Vermögenswerte haben neue Varianten von Open-Source-Malware entdeckt, die im Node Package Manager (NPM) Paket-Repository, einer umfangreichen Sammlung von JavaScript-Paketen und -Bibliotheken, zu finden sind.
Die Malware-Pakete „colortoolsv2“ und „mimelib2„, die im Juli veröffentlicht wurden, „missbrauchten Smart Contracts, um bösartige Befehle zu verbergen, die Downloader-Malware auf kompromittierten Systemen installierten“, so die ReversingLabs-Forscherin Lucija Valentić in einem Blogbeitrag am Mittwoch. Um Sicherheitsprüfungen zu umgehen, fungierten die Pakete als einfache Downloader und riefen anstelle von bösartigen Links direkt Adressen von Command-and-Control-Servern aus den Smart Contracts ab. Bei der Installation würden die Pakete die Blockchain abfragen, um URLs zum Herunterladen von Malware der zweiten Stufe abzurufen, die die eigentliche Nutzlast oder Aktion trägt. Dies erschwert die Erkennung, da der Blockchain-Verkehr legitim erscheint.
Eine neue Angriffsvektor
Malware, die auf Ethereum-Smart Contracts abzielt, ist nicht neu; sie wurde bereits Anfang dieses Jahres von der nordkoreanisch-affiliierten Hackergruppe Lazarus Group verwendet. „Was neu und anders ist, ist die Verwendung von Ethereum-Smart Contracts, um die URLs zu hosten, wo sich bösartige Befehle befinden, die die Malware der zweiten Stufe herunterladen“, sagte Valentić. Sie fügte hinzu: „Das ist etwas, das wir zuvor nicht gesehen haben, und es verdeutlicht die rasante Entwicklung der Strategien zur Umgehung von Erkennung durch bösartige Akteure, die Open-Source-Repositories und Entwickler durchforsten.“
Eine ausgeklügelte Krypto-Täuschungskampagne
Die Malware-Pakete waren Teil einer größeren, ausgeklügelten Social-Engineering- und Täuschungskampagne, die hauptsächlich über GitHub operierte. Bedrohungsakteure erstellten gefälschte Repositories für Kryptowährungs-Handelsbots, die so gestaltet waren, dass sie äußerst vertrauenswürdig erscheinen. Dies geschah durch gefälschte Commits, gefälschte Benutzerkonten, die speziell erstellt wurden, um Repositories zu beobachten, mehrere Betreuerkonten, um eine aktive Entwicklung zu simulieren, sowie professionell aussehende Projektbeschreibungen und Dokumentationen.
Bedrohungsakteure entwickeln sich weiter. Im Jahr 2024 dokumentierten Sicherheitsforscher 23 krypto-bezogene bösartige Kampagnen in Open-Source-Repositories. Dieser neueste Angriffsvektor „zeigt, dass Angriffe auf Repositories sich weiterentwickeln“, indem Blockchain-Technologie mit ausgeklügeltem Social Engineering kombiniert wird, um traditionelle Erkennungsmethoden zu umgehen, schloss Valentić. Diese Angriffe werden nicht nur auf Ethereum ausgeführt. Im April wurde ein gefälschtes GitHub-Repository, das sich als Solana-Handelsbot ausgab, verwendet, um verschleierte Malware zu verteilen, die Krypto-Wallet-Anmeldeinformationen stahl. Hacker haben auch „Bitcoinlib“ ins Visier genommen, eine Open-Source-Python-Bibliothek, die entwickelt wurde, um die Bitcoin-Entwicklung zu erleichtern.
