Distribución de Malware a través de Contratos Inteligentes
Los actores de amenazas han descubierto una nueva manera de distribuir software malicioso, comandos y enlaces dentro de contratos inteligentes de Ethereum, eludiendo así los escaneos de seguridad a medida que los ataques que utilizan repositorios de código evolucionan. Investigadores de ciberseguridad de la firma de cumplimiento de activos digitales ReversingLabs han identificado nuevos fragmentos de malware de código abierto en el repositorio de paquetes de Node Package Manager (NPM), una extensa colección de paquetes y bibliotecas de JavaScript.
Los paquetes de malware «colortoolsv2» y «mimelib2«, publicados en julio, «abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», explicó la investigadora de ReversingLabs, Lucija Valentić, en una publicación de blog el miércoles. Para evitar los escaneos de seguridad, los paquetes funcionaron como simples descargadores y, en lugar de alojar enlaces maliciosos directamente, recuperaron direcciones de servidores de comando y control desde los contratos inteligentes. Al instalarse, los paquetes consultaban la blockchain para obtener URLs que permitieran descargar malware de segunda etapa, dificultando así la detección, ya que el tráfico de la blockchain parece legítimo.
¡Comienza tu viaje en Crypto con Coinbase! Únete a millones de personas en todo el mundo que confían en Coinbase para invertir, gastar, ahorrar y ganar criptomonedas de forma segura. ¡Compra Bitcoin, Ethereum y más con facilidad!
Un Nuevo Vector de Ataque
El malware que apunta a contratos inteligentes de Ethereum no es nuevo; fue utilizado a principios de este año por el colectivo de hackers afiliado a Corea del Norte, el Lazarus Group. «Lo que es nuevo y diferente es el uso de contratos inteligentes de Ethereum para alojar las URLs donde se encuentran los comandos maliciosos, descargando el malware de segunda etapa», comentó Valentić, quien añadió: «Eso es algo que no habíamos visto anteriormente y resalta la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que están explorando repositorios de código abierto y desarrolladores.»
Una Elaborada Campaña de Engaño Cripto
Los paquetes de malware formaban parte de una campaña más amplia y elaborada de ingeniería social y engaño que operaba principalmente a través de GitHub. Los actores de amenazas crearon repositorios falsos de bots de trading de criptomonedas diseñados para parecer altamente confiables mediante commits fabricados, cuentas de usuario falsas creadas específicamente para observar repositorios, múltiples cuentas de mantenedores para simular un desarrollo activo, y descripciones y documentación de proyectos que parecían profesionales.
Los Actores de Amenazas están Evolucionando
En 2024, los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto, pero este último vector de ataque «muestra que los ataques a repositorios están evolucionando», combinando tecnología blockchain con elaborada ingeniería social para eludir métodos de detección tradicionales, concluyó Valentić. Estos ataques no solo se limitan a Ethereum. En abril, se utilizó un repositorio falso de GitHub que se hacía pasar por un bot de trading de Solana para distribuir malware oscurecido que robaba credenciales de billeteras de criptomonedas. Los hackers también han apuntado a «Bitcoinlib«, una biblioteca de Python de código abierto diseñada para facilitar el desarrollo de Bitcoin.
