Introduction
Des acteurs malveillants ont mis au point une nouvelle méthode pour intégrer des logiciels malveillants, des commandes et des liens au sein des contrats intelligents Ethereum, leur permettant ainsi d’échapper aux analyses de sécurité. Cette évolution des attaques utilisant des dépôts de code a été mise en lumière par des chercheurs en cybersécurité de la société de conformité des actifs numériques ReversingLabs.
Identification des logiciels malveillants
Ils ont identifié de nouveaux logiciels malveillants open-source sur le dépôt de paquets Node Package Manager (NPM), une vaste collection de paquets et de bibliothèques JavaScript. Les paquets malveillants « employent une technique novatrice et créative pour charger des logiciels malveillants sur des dispositifs compromis — des contrats intelligents pour la blockchain Ethereum, » a déclaré Lucija Valentić, chercheuse chez ReversingLabs, dans un article de blog publié mercredi.
« Les deux paquets, ‘colortoolsv2’ et ‘mimelib2,’ publiés en juillet, ont abusé des contrats intelligents pour dissimuler des commandes malveillantes qui installaient des logiciels malveillants de téléchargement sur des systèmes compromis, » a expliqué Valentić.
Pour éviter les analyses de sécurité, ces paquets fonctionnaient comme de simples téléchargeurs. Au lieu d’héberger directement des liens malveillants, ils récupéraient les adresses des serveurs de commande et de contrôle à partir des contrats intelligents. Lorsqu’ils étaient installés, les paquets interrogeaient la blockchain pour obtenir des URL permettant de télécharger des logiciels malveillants de deuxième étape, rendant ainsi la détection plus difficile.
Une nouvelle méthode d’attaque
Les logiciels malveillants ciblant les contrats intelligents Ethereum ne sont pas une nouveauté ; ils ont été utilisés plus tôt cette année par le collectif de hackers affilié à la Corée du Nord, le Lazarus Group. « Ce qui est nouveau et différent, c’est l’utilisation des contrats intelligents Ethereum pour héberger les URL où se trouvent les commandes malveillantes, » a déclaré Valentić, ajoutant :
« C’est quelque chose que nous n’avons pas vu auparavant, et cela met en évidence l’évolution rapide des stratégies d’évasion de détection par des acteurs malveillants qui explorent les dépôts open source et les développeurs. »
Une campagne de tromperie crypto élaborée
Les paquets malveillants faisaient partie d’une campagne de manipulation et de tromperie sociale plus large, opérant principalement via GitHub. Les acteurs malveillants ont créé de faux dépôts de bots de trading de cryptomonnaies, conçus pour sembler très fiables grâce à des commits fabriqués, de faux comptes utilisateurs, plusieurs comptes de mainteneurs pour simuler un développement actif, ainsi que des descriptions et documentations de projet d’apparence professionnelle.
Évolution des acteurs malveillants
En 2024, les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies sur des dépôts open-source. Cependant, ce dernier vecteur d’attaque « montre que les attaques sur les dépôts évoluent, » combinant la technologie blockchain avec une ingénierie sociale élaborée pour contourner les méthodes de détection traditionnelles, a conclu Valentić.
Ces attaques ne se limitent pas à Ethereum. En avril, un faux dépôt GitHub se faisant passer pour un bot de trading Solana a été utilisé pour distribuer des logiciels malveillants obscurcis, capables de voler les identifiants de portefeuille crypto. Les hackers ont également ciblé « Bitcoinlib, » une bibliothèque Python open-source conçue pour faciliter le développement Bitcoin.
