Secondo Cointelegraph, gli attori delle minacce hanno sviluppato un metodo sofisticato per consegnare software malevolo attraverso contratti intelligenti Ethereum, eludendo le scansioni di sicurezza tradizionali. Questa evoluzione negli attacchi informatici è stata identificata dai ricercatori di cybersecurity di ReversingLabs, che hanno scoperto nuovo malware open-source nel repository Node Package Manager (NPM), una vasta collezione di pacchetti e librerie JavaScript.
Il ricercatore di ReversingLabs Lucija Valentić ha evidenziato in un recente post del blog che i pacchetti malware, chiamati “colortoolsv2” e “mimelib2,” utilizzano contratti intelligenti Ethereum per nascondere comandi malevoli. Questi pacchetti, pubblicati a luglio, funzionano come downloader che recuperano indirizzi di server di comando e controllo dai contratti intelligenti piuttosto che ospitare direttamente link malevoli. Questo approccio complica gli sforzi di rilevamento, poiché il traffico blockchain appare legittimo, consentendo al malware di installare software downloader sui sistemi compromessi.
L'uso di contratti intelligenti Ethereum per ospitare URL dove si trovano comandi malevoli rappresenta una tecnica nuova nel dispiegamento di malware. Valentić ha notato che questo metodo segna un cambiamento significativo nelle strategie di evasione del rilevamento, poiché gli attori malevoli sfruttano sempre di più i repository open-source e gli sviluppatori. Questa tattica era stata precedentemente impiegata dal Gruppo Lazarus affiliato alla Corea del Nord all'inizio di quest'anno, ma l'approccio attuale dimostra una rapida evoluzione nei vettori di attacco.
I pacchetti malware fanno parte di una più ampia campagna di inganno che opera principalmente attraverso GitHub. Gli attori delle minacce hanno creato repository falsi di bot per il trading di criptovalute, presentandoli come credibili attraverso commit falsificati, account utente falsi, più account di manutentori e descrizioni e documentazione di progetto dall'aspetto professionale. Questa elaborata strategia di ingegneria sociale mira a bypassare i metodi di rilevamento tradizionali combinando la tecnologia blockchain con pratiche ingannevoli.
Nel 2024, i ricercatori di sicurezza hanno documentato 23 campagne malevole legate alle criptovalute sui repository open-source. Tuttavia, questo ultimo vettore d'attacco sottolinea l'evoluzione continua degli attacchi ai repository. Oltre a Ethereum, tattiche simili sono state impiegate su altre piattaforme, come un falso repository GitHub che si spacciava per un bot di trading Solana, che distribuiva malware per rubare le credenziali dei portafogli di criptovalute. Inoltre, gli hacker hanno preso di mira “Bitcoinlib,” una libreria Python open-source progettata per facilitare lo sviluppo di Bitcoin, illustrando ulteriormente la natura diversificata e adattiva di queste minacce informatiche.
