Согласно Cointelegraph, злонамеренные акторы разработали сложный метод доставки вредоносного программного обеспечения через смарт-контракты Ethereum, обходя традиционные проверки безопасности. Эта эволюция кибератак была идентифицирована исследователями кибербезопасности в ReversingLabs, которые обнаружили новое открытое вредоносное ПО в репозитории Node Package Manager (NPM), обширной коллекции пакетов и библиотек JavaScript.
Исследователь ReversingLabs Лучия Валентич подчеркнула в недавнем блоге, что вредоносные пакеты, названные «colortoolsv2» и «mimelib2», используют смарт-контракты Ethereum для сокрытия вредоносных команд. Эти пакеты, опубликованные в июле, функционируют как загрузчики, которые получают адреса серверов командования и управления из смарт-контрактов, а не напрямую размещают вредоносные ссылки. Этот подход усложняет усилия по обнаружению, так как трафик блокчейна выглядит легитимным, позволяя вредоносному ПО устанавливать загрузочное программное обеспечение на скомпрометированные системы.
Использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, представляет собой новую технику в развертывании вредоносного ПО. Валентич отметила, что этот метод является значительным сдвигом в стратегиях уклонения от обнаружения, поскольку злонамеренные акторы все чаще используют открытые репозитории и разработчиков. Эта тактика ранее использовалась связанной с Северной Кореей группой Lazarus в начале этого года, но текущий подход демонстрирует быстрое развитие вектора атак.
Вредоносные пакеты являются частью более широкой кампании обмана, работающей в основном через GitHub. Злонамеренные акторы создали фальшивые репозитории торговых ботов криптовалют, представляя их как надежные через поддельные коммиты, фальшивые учетные записи пользователей, несколько учетных записей поддерживающих и профессионально выглядящие описания проектов и документацию. Эта сложная стратегия социального инжиниринга направлена на обход традиционных методов обнаружения, сочетая технологии блокчейна с обманными практиками.
В 2024 году исследователи безопасности зафиксировали 23 связанных с криптовалютами вредоносные кампании в открытых репозиториях. Однако этот последний вектор атаки подчеркивает продолжающуюся эволюцию атак на репозитории. Помимо Ethereum, аналогичные тактики применялись и на других платформах, таких как фальшивый репозиторий GitHub, выдающий себя за торгового бота Solana, который распространял вредоносное ПО для кражи учетных данных криптокошельков. Кроме того, хакеры нацелились на «Bitcoinlib», открытую библиотеку Python, предназначенную для упрощения разработки Bitcoin, что еще раз иллюстрирует разнообразный и адаптивный характер этих киберугроз.
