Theo Cointelegraph, các tác nhân đe dọa đã phát triển một phương pháp tinh vi để truyền tải phần mềm độc hại thông qua các hợp đồng thông minh Ethereum, vượt qua các quét bảo mật truyền thống. Sự tiến hóa này trong các cuộc tấn công mạng đã được các nhà nghiên cứu an ninh mạng tại ReversingLabs xác định, những người đã phát hiện ra malware mã nguồn mở mới trên kho Node Package Manager (NPM), một bộ sưu tập rộng lớn các gói và thư viện JavaScript.
Nhà nghiên cứu ReversingLabs, Lucija Valentić, đã nhấn mạnh trong một bài viết blog gần đây rằng các gói malware, được gọi là “colortoolsv2” và “mimelib2,” sử dụng hợp đồng thông minh Ethereum để che giấu các lệnh độc hại. Các gói này, được công bố vào tháng 7, hoạt động như là các trình tải xuống lấy địa chỉ máy chủ chỉ huy và điều khiển từ các hợp đồng thông minh thay vì trực tiếp lưu trữ các liên kết độc hại. Cách tiếp cận này làm phức tạp nỗ lực phát hiện, vì lưu lượng blockchain có vẻ hợp pháp, cho phép malware cài đặt phần mềm tải xuống trên các hệ thống bị xâm phạm.
Việc sử dụng hợp đồng thông minh Ethereum để lưu trữ các URL nơi có các lệnh độc hại là một kỹ thuật mới trong việc triển khai malware. Valentić lưu ý rằng phương pháp này đánh dấu một sự chuyển biến đáng kể trong các chiến lược né tránh phát hiện, khi các tác nhân độc hại ngày càng khai thác các kho mã nguồn mở và các nhà phát triển. Chiến thuật này đã được nhóm Lazarus có liên quan đến Bắc Triều Tiên sử dụng trước đó trong năm nay, nhưng phương pháp hiện tại cho thấy sự tiến hóa nhanh chóng trong các vectơ tấn công.
Các gói malware là một phần của một chiến dịch lừa đảo rộng lớn hơn hoạt động chủ yếu qua GitHub. Các tác nhân đe dọa đã tạo ra các kho bot giao dịch tiền điện tử giả, trình bày chúng như là đáng tin cậy thông qua các cam kết giả, tài khoản người dùng giả, nhiều tài khoản người duy trì và mô tả dự án cùng tài liệu trông chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm vượt qua các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các thực tiễn lừa đảo.
Vào năm 2024, các nhà nghiên cứu an ninh đã ghi lại 23 chiến dịch độc hại liên quan đến tiền điện tử trên các kho mã nguồn mở. Tuy nhiên, vectơ tấn công mới nhất này nhấn mạnh sự tiến hóa liên tục của các cuộc tấn công vào kho. Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, chẳng hạn như một kho GitHub giả mạo là bot giao dịch Solana, đã phân phối malware để đánh cắp thông tin xác thực ví tiền điện tử. Thêm vào đó, các hacker đã nhắm đến “Bitcoinlib,” một thư viện Python mã nguồn mở được thiết kế để hỗ trợ phát triển Bitcoin, minh họa thêm cho tính đa dạng và khả năng thích ứng của những mối đe dọa mạng này.
