Угрожающее программное обеспечение и смарт-контракты Ethereum
Угрожающее программное обеспечение нашло новый способ доставки вредоносного ПО, команд и ссылок внутри смарт-контрактов Ethereum, чтобы избежать сканирования безопасности. Исследователи в области кибербезопасности из компании ReversingLabs, занимающейся соблюдением норм цифровых активов, обнаружили новые образцы вредоносного ПО на репозитории пакетов Node Package Manager (NPM), большом собрании пакетов и библиотек JavaScript.
Вредоносные пакеты используют новый и креативный метод загрузки вредоносного ПО на скомпрометированные устройства — смарт-контракты для блокчейна Ethereum, — сообщила исследователь ReversingLabs Люция Валентич в блоге в среду. Два пакета, «colortoolsv2» и «mimelib2,» опубликованные в июле, злоупотребляли смарт-контрактами, чтобы скрыть вредоносные команды, которые устанавливали загрузчик вредоносного ПО на скомпрометированные системы, объяснила Валентич.
Чтобы избежать сканирования безопасности, пакеты функционировали как простые загрузчики и вместо того, чтобы напрямую размещать вредоносные ссылки, они извлекали адреса серверов командного управления из смарт-контрактов. Когда пакеты были установлены, они запрашивали блокчейн для получения URL-адресов для загрузки вредоносного ПО второго этапа, которое несет полезную нагрузку или действие, что делает обнаружение более сложным, поскольку трафик блокчейна выглядит легитимным.
Новая вектор атаки
Вредоносное ПО, нацеленное на смарт-контракты Ethereum, не ново; оно использовалось ранее в этом году хакерской группой Lazarus, связанной с Северной Кореей.
«Что нового и отличительного, так это использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, загружающие вредоносное ПО второго этапа,»
— сказала Валентич, добавив:
«Это то, чего мы не видели ранее, и это подчеркивает быструю эволюцию стратегий уклонения от обнаружения со стороны злоумышленников, которые исследуют открытые репозитории и разработчиков.»
Замысловатая кампания крипто-обмана
Вредоносные пакеты были частью более крупной, замысловатой кампании социальной инженерии и обмана, в основном действующей через GitHub. Угрожающее программное обеспечение создало фальшивые репозитории торговых ботов криптовалюты, которые выглядели очень надежно благодаря поддельным коммитам, фальшивым учетным записям пользователей, созданным специально для наблюдения за репозиториями, нескольким учетным записям поддерживающих разработчиков для имитации активной разработки и профессионально выглядящим описаниям проектов и документации.
Угрожающее программное обеспечение эволюционирует
В 2024 году исследователи безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютой, на открытых репозиториях, но этот последний вектор атаки показывает, что атаки на репозитории эволюционируют, сочетая технологии блокчейна с замысловатой социальной инженерией для обхода традиционных методов обнаружения, заключила Валентич. Эти атаки не ограничиваются только Ethereum. В апреле фальшивый репозиторий GitHub, выдающий себя за торгового бота Solana, использовался для распространения скрытого вредоносного ПО, которое крало учетные данные криптовалютных кошельков. Хакеры также нацеливались на «Bitcoinlib,» открытую библиотеку Python, предназначенную для упрощения разработки Bitcoin.
