Atores de ameaças encontraram uma nova maneira de entregar software malicioso, comandos e links dentro de contratos inteligentes do Ethereum para evadir varreduras de segurança à medida que os ataques usando repositórios de código evoluem.
Pesquisadores de cibersegurança da empresa de conformidade de ativos digitais ReversingLabs encontraram novos itens de malware de código aberto descobertos no repositório de pacotes do Node Package Manager (NPM), uma grande coleção de pacotes e bibliotecas JavaScript.
Os pacotes de malware “empregam uma técnica nova e criativa para carregar malware em dispositivos comprometidos - contratos inteligentes para a blockchain Ethereum,” disse a pesquisadora da ReversingLabs, Lucija Valentić, em um post no blog na quarta-feira.
Os dois pacotes, ‘colortoolsv2’ e ‘mimelib2’, publicados em julho, “abusaram de contratos inteligentes para ocultar comandos maliciosos que instalaram malware downloader em sistemas comprometidos,” explicou Valentić.
Para evitar varreduras de segurança, os pacotes funcionavam como simples downloaders e, em vez de hospedar links maliciosos diretamente, recuperavam endereços de servidores de comando e controle dos contratos inteligentes.
Quando instalados, os pacotes consultavam a blockchain para buscar URLs para baixar malware de segunda etapa, que carrega a carga útil ou ação, tornando a detecção mais difícil, uma vez que o tráfego da blockchain parece legítimo.
Um novo vetor de ataque
Malware direcionado a contratos inteligentes do Ethereum não é novo e foi utilizado por um coletivo de hackers afiliado à Coreia do Norte, o Lazarus Group, no início deste ano.
“O que é novo e diferente é o uso de contratos inteligentes do Ethereum para hospedar os URLs onde os comandos maliciosos estão localizados, baixando o malware de segunda etapa,” disse Valentić, que acrescentou:
“Isso é algo que não vimos anteriormente, e destaca a rápida evolução das estratégias de evasão de detecção por atores maliciosos que estão monitorando repositórios e desenvolvedores de código aberto.”
Uma elaborada campanha de engano cripto
Os pacotes de malware faziam parte de uma campanha maior e elaborada de engenharia social e engano, operando principalmente através do GitHub.
Atores de ameaças criaram repositórios falsos de bots de negociação de criptomoedas projetados para parecer altamente confiáveis por meio de commits fabricados, contas de usuários falsas criadas especificamente para monitorar repositórios, várias contas de mantenedores para simular desenvolvimento ativo, e descrições e documentações de projetos com aparência profissional.
Atores de ameaças estão evoluindo
Em 2024, pesquisadores de segurança documentaram 23 campanhas maliciosas relacionadas a criptomoedas em repositórios de código aberto, mas este último vetor de ataque “mostra que os ataques a repositórios estão evoluindo”, combinando tecnologia blockchain com engenharia social elaborada para contornar métodos tradicionais de detecção, concluiu Valentić.
Esses ataques não são executados apenas no Ethereum. Em abril, um repositório falso do GitHub que se passava por um bot de negociação Solana foi usado para distribuir malware ofuscado que roubava credenciais de carteiras de criptomoedas. Hackers também direcionaram ataques ao ‘Bitcoinlib’, uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento do Bitcoin.
Revista: Bitcoin verá ‘mais um grande impulso’ para $150K, pressão do ETH aumenta: Segredos de Comércio
