Selon Cointelegraph, les acteurs de menaces ont développé une méthode sophistiquée pour livrer des logiciels malveillants via des contrats intelligents Ethereum, contournant les analyses de sécurité traditionnelles. Cette évolution des cyberattaques a été identifiée par des chercheurs en cybersécurité de ReversingLabs, qui ont découvert de nouveaux logiciels malveillants open-source dans le dépôt Node Package Manager (NPM), une vaste collection de paquets et bibliothèques JavaScript.
Le chercheur de ReversingLabs, Lucija Valentić, a souligné dans un récent article de blog que les paquets de logiciels malveillants, nommés « colortoolsv2 » et « mimelib2 », utilisent des contrats intelligents Ethereum pour dissimuler des commandes malveillantes. Ces paquets, publiés en juillet, fonctionnent comme des téléchargeurs qui récupèrent des adresses de serveurs de commande et de contrôle à partir de contrats intelligents plutôt que d'héberger directement des liens malveillants. Cette approche complique les efforts de détection, car le trafic blockchain semble légitime, permettant au logiciel malveillant d'installer un logiciel de téléchargement sur des systèmes compromis.
L'utilisation de contrats intelligents Ethereum pour héberger des URL où se trouvent des commandes malveillantes représente une technique novatrice dans le déploiement de logiciels malveillants. Valentić a noté que cette méthode marque un changement significatif dans les stratégies d'évasion de détection, les acteurs malveillants exploitant de plus en plus les dépôts open-source et les développeurs. Cette tactique a été précédemment employée par le groupe Lazarus, affilié à la Corée du Nord, plus tôt cette année, mais l'approche actuelle démontre une évolution rapide des vecteurs d'attaque.
Les paquets de logiciels malveillants font partie d'une campagne de tromperie plus large opérant principalement via GitHub. Les acteurs de menaces ont créé de faux dépôts de bots de trading de cryptomonnaie, les présentant comme crédibles grâce à des commits fabriqués, de faux comptes utilisateurs, plusieurs comptes de mainteneurs et des descriptions et documentations de projets ayant un aspect professionnel. Cette stratégie élaborée d'ingénierie sociale vise à contourner les méthodes de détection traditionnelles en combinant la technologie blockchain avec des pratiques trompeuses.
En 2024, les chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies sur des dépôts open-source. Cependant, ce dernier vecteur d'attaque souligne l'évolution continue des attaques sur les dépôts. Au-delà d'Ethereum, des tactiques similaires ont été employées sur d'autres plateformes, comme un faux dépôt GitHub se faisant passer pour un bot de trading Solana, qui a distribué des logiciels malveillants pour voler les identifiants de portefeuilles de cryptomonnaie. De plus, des hackers ont ciblé « Bitcoinlib », une bibliothèque Python open-source conçue pour faciliter le développement Bitcoin, illustrant davantage la nature diverse et adaptable de ces menaces cybernétiques.
