Według Cointelegraph, aktorzy zagrożenia opracowali wyrafinowaną metodę dostarczania złośliwego oprogramowania za pośrednictwem inteligentnych kontraktów Ethereum, omijając tradycyjne skany zabezpieczeń. Ten rozwój w cyberatakach został zidentyfikowany przez badaczy cyberbezpieczeństwa w ReversingLabs, którzy odkryli nowe złośliwe oprogramowanie open-source w repozytorium Node Package Manager (NPM), ogromnej kolekcji pakietów i bibliotek JavaScript.
Badaczka ReversingLabs, Lucija Valentić, podkreśliła w ostatnim wpisie na blogu, że pakiety złośliwego oprogramowania, nazwane „colortoolsv2” i „mimelib2”, wykorzystują inteligentne kontrakty Ethereum do ukrywania złośliwych poleceń. Te pakiety, opublikowane w lipcu, funkcjonują jako programy pobierające, które odzyskują adresy serwerów dowodzenia i kontroli z inteligentnych kontraktów, zamiast bezpośrednio hostować złośliwe linki. To podejście komplikuje wysiłki detekcji, ponieważ ruch w blockchainie wydaje się legitymny, co pozwala złośliwemu oprogramowaniu zainstalować oprogramowanie pobierające na skompromitowanych systemach.
Wykorzystanie inteligentnych kontraktów Ethereum do hostingu adresów URL, w których znajdują się złośliwe polecenia, stanowi nową technikę w wdrażaniu złośliwego oprogramowania. Valentić zauważyła, że ta metoda oznacza znaczną zmianę w strategiach unikania detekcji, ponieważ złośliwi aktorzy coraz częściej wykorzystują repozytoria open-source i deweloperów. Ta taktyka była wcześniej stosowana przez powiązaną z Koreą Północną grupę Lazarus na początku tego roku, ale obecne podejście demonstruje szybki rozwój wektora ataku.
Pakiety złośliwego oprogramowania są częścią szerszej kampanii oszustwa działającej głównie poprzez GitHub. Aktorzy zagrożenia stworzyli fałszywe repozytoria botów handlowych kryptowalut, przedstawiając je jako wiarygodne dzięki fałszywym commitom, fałszywym kontom użytkowników, wielu kontom konserwatorów oraz profesjonalnie wyglądającym opisom projektów i dokumentacji. Ta złożona strategia inżynierii społecznej ma na celu obejście tradycyjnych metod detekcji, łącząc technologię blockchain z praktykami oszustwa.
W 2024 roku badacze bezpieczeństwa udokumentowali 23 kampanie złośliwe związane z kryptowalutami w repozytoriach open-source. Jednak ten ostatni wektor ataku podkreśla ciągły rozwój ataków na repozytoria. Poza Ethereum, podobne taktyki były stosowane na innych platformach, takich jak fałszywe repozytorium GitHub podszywające się pod bota handlowego Solana, które rozprowadzało złośliwe oprogramowanie w celu kradzieży danych uwierzytelniających portfela kryptowalut. Dodatkowo, hakerzy zaatakowali „Bitcoinlib”, otwartą bibliotekę Pythona zaprojektowaną w celu ułatwienia rozwoju Bitcoin, co dodatkowo ilustruje różnorodny i adaptacyjny charakter tych zagrożeń cybernetycznych.
