Nuovi Metodi di Distribuzione del Malware
Gli attori della minaccia hanno scoperto un nuovo metodo per distribuire software dannoso, comandi e link all’interno dei contratti smart di Ethereum, eludendo così le scansioni di sicurezza mentre gli attacchi che utilizzano repository di codice continuano a evolversi. I ricercatori di cybersecurity della società di conformità per asset digitali ReversingLabs hanno identificato nuovi pezzi di malware open-source presenti nel repository di pacchetti Node Package Manager (NPM), una vasta collezione di pacchetti e librerie JavaScript.
I pacchetti di malware “impiegano una tecnica innovativa e creativa per caricare malware su dispositivi compromessi: i contratti smart per la blockchain di Ethereum,” ha dichiarato la ricercatrice di ReversingLabs Lucija Valentić in un post sul blog mercoledì.
I due pacchetti, “colortoolsv2” e “mimelib2,” pubblicati a luglio, “hanno abusato dei contratti smart per nascondere comandi dannosi che installavano malware downloader su sistemi compromessi,” ha spiegato Valentić. Per evitare le scansioni di sicurezza, i pacchetti operavano come semplici downloader e, invece di ospitare direttamente link dannosi, recuperavano indirizzi dei server di comando e controllo dai contratti smart. Quando installati, i pacchetti interrogavano la blockchain per ottenere URL per scaricare malware di seconda fase, che porta il payload o l’azione, rendendo la rilevazione più difficile poiché il traffico blockchain appare legittimo.
Un Nuovo Vettore d’Attacco
Il malware che prende di mira i contratti smart di Ethereum non è una novità; è stato utilizzato all’inizio di quest’anno dal collettivo di hacking affiliato alla Corea del Nord, il Lazarus Group. “Ciò che è nuovo e diverso è l’uso dei contratti smart di Ethereum per ospitare gli URL dove si trovano i comandi dannosi, scaricando il malware di seconda fase,” ha affermato Valentić, aggiungendo: “Questo è qualcosa che non abbiamo visto in precedenza e mette in evidenza la rapida evoluzione delle strategie di evasione della rilevazione da parte di attori malintenzionati che stanno setacciando repository open source e sviluppatori.”
Una Complessa Campagna di Inganno Crypto
I pacchetti di malware facevano parte di una campagna di inganno e ingegneria sociale più ampia e complessa che operava principalmente attraverso GitHub. Gli attori della minaccia hanno creato repository di bot di trading di criptovalute falsi progettati per apparire altamente affidabili attraverso commit fabbricati, account utente falsi creati specificamente per monitorare i repository, più account di manutentori per simulare uno sviluppo attivo e descrizioni e documentazione di progetto dall’aspetto professionale.
Gli attori della minaccia stanno evolvendo. Nel 2024, i ricercatori di sicurezza hanno documentato 23 campagne dannose legate alle crypto su repository open-source, ma questo ultimo vettore d’attacco “mostra che gli attacchi ai repository stanno evolvendo,” combinando la tecnologia blockchain con elaborate ingegnerie sociali per bypassare i metodi di rilevazione tradizionali, ha concluso Valentić. Questi attacchi non si limitano a Ethereum. Ad aprile, un falso repository GitHub che si spacciava per un bot di trading di Solana è stato utilizzato per distribuire malware oscurato che rubava le credenziali dei wallet crypto. Gli hacker hanno anche preso di mira “Bitcoinlib,” una libreria Python open-source progettata per semplificare lo sviluppo di Bitcoin.
