De acordo com o Cointelegraph, atores de ameaças desenvolveram um método sofisticado para entregar software malicioso através de contratos inteligentes do Ethereum, contornando varreduras de segurança tradicionais. Essa evolução nos ciberataques foi identificada por pesquisadores de cibersegurança da ReversingLabs, que descobriram um novo malware de código aberto no repositório Node Package Manager (NPM), uma vasta coleção de pacotes e bibliotecas JavaScript.
A pesquisadora da ReversingLabs, Lucija Valentić, destacou em um post recente no blog que os pacotes de malware, chamados de “colortoolsv2” e “mimelib2,” utilizam contratos inteligentes do Ethereum para ocultar comandos maliciosos. Esses pacotes, publicados em julho, funcionam como dowloaders que recuperam endereços de servidores de comando e controle a partir de contratos inteligentes, em vez de hospedar links maliciosos diretamente. Essa abordagem complica os esforços de detecção, uma vez que o tráfego da blockchain parece legítimo, permitindo que o malware instale software downloader em sistemas comprometidos.
O uso de contratos inteligentes do Ethereum para hospedar URLs onde os comandos maliciosos estão localizados representa uma técnica nova na implantação de malware. Valentić observou que esse método marca uma mudança significativa nas estratégias de evasão de detecção, à medida que atores maliciosos exploram cada vez mais repositórios de código aberto e desenvolvedores. Essa tática foi empregada anteriormente pelo grupo Lazarus, afiliado à Coreia do Norte, no início deste ano, mas a abordagem atual demonstra uma rápida evolução nos vetores de ataque.
Os pacotes de malware fazem parte de uma campanha de engano mais ampla, operando principalmente através do GitHub. Atores de ameaças criaram repositórios falsos de bots de negociação de criptomoedas, apresentando-os como credíveis através de commits fabricados, contas de usuários falsas, múltiplas contas de mantenedores e descrições e documentações de projetos com aparência profissional. Essa elaborada estratégia de engenharia social visa contornar métodos tradicionais de detecção, combinando tecnologia blockchain com práticas enganosas.
Em 2024, pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a cripto em repositórios de código aberto. No entanto, esse mais recente vetor de ataque sublinha a evolução contínua dos ataques a repositórios. Além do Ethereum, táticas semelhantes foram empregadas em outras plataformas, como um repositório falso do GitHub que se passava por um bot de negociação Solana, que distribuía malware para roubar credenciais de carteiras de criptomoedas. Além disso, hackers têm como alvo “Bitcoinlib,” uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento de Bitcoin, ilustrando ainda mais a natureza diversa e adaptativa dessas ameaças cibernéticas.
