Según Cointelegraph, los actores de amenazas han desarrollado un método sofisticado para entregar software malicioso a través de contratos inteligentes de Ethereum, eludiendo los escaneos de seguridad tradicionales. Esta evolución en los ciberataques ha sido identificada por investigadores de ciberseguridad en ReversingLabs, quienes descubrieron nuevo malware de código abierto en el repositorio de Node Package Manager (NPM), una vasta colección de paquetes y bibliotecas de JavaScript.
La investigadora de ReversingLabs, Lucija Valentić, destacó en una publicación reciente de blog que los paquetes de malware, llamados “colortoolsv2” y “mimelib2”, utilizan contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estos paquetes, publicados en julio, funcionan como descargadores que recuperan direcciones de servidores de comando y control de contratos inteligentes en lugar de alojar enlaces maliciosos directamente. Este enfoque complica los esfuerzos de detección, ya que el tráfico de blockchain parece legítimo, permitiendo que el malware instale software de descarga en sistemas comprometidos.
El uso de contratos inteligentes de Ethereum para alojar URL donde se encuentran comandos maliciosos representa una técnica novedosa en el despliegue de malware. Valentić señaló que este método marca un cambio significativo en las estrategias de evasión de detección, ya que los actores maliciosos explotan cada vez más repositorios de código abierto y desarrolladores. Esta táctica fue empleada anteriormente por el grupo Lazarus, afiliado a Corea del Norte, a principios de este año, pero el enfoque actual demuestra una rápida evolución en los vectores de ataque.
Los paquetes de malware son parte de una campaña de engaño más amplia que opera principalmente a través de GitHub. Los actores de amenazas han creado repositorios falsos de bots de comercio de criptomonedas, presentándolos como creíbles a través de commits fabricados, cuentas de usuario falsas, múltiples cuentas de mantenedores y descripciones y documentación de proyectos que parecen profesionales. Esta elaborada estrategia de ingeniería social tiene como objetivo eludir los métodos de detección tradicionales al combinar la tecnología blockchain con prácticas engañosas.
En 2024, los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto. Sin embargo, este último vector de ataque subraya la evolución continua de los ataques a repositorios. Más allá de Ethereum, tácticas similares se han empleado en otras plataformas, como un repositorio falso de GitHub que se hace pasar por un bot de comercio de Solana, que distribuyó malware para robar credenciales de billeteras de criptomonedas. Además, los hackers han dirigido sus ataques a “Bitcoinlib”, una biblioteca de Python de código abierto diseñada para facilitar el desarrollo de Bitcoin, ilustrando aún más la naturaleza diversa y adaptable de estas amenazas cibernéticas.
