Злоумышленники обнаружили новый способ доставки вредоносного программного обеспечения, команд и ссылок внутри смарт-контрактов Ethereum, чтобы обходить проверки безопасности, поскольку атаки с использованием репозиториев кода становятся все более изощренными.
Исследователи в области кибербезопасности компании ReversingLabs, специализирующейся на соблюдении нормативных требований в отношении цифровых активов, обнаружили новые образцы вредоносного ПО с открытым исходным кодом, обнаруженные в репозитории пакетов Node Package Manager (NPM) — обширной коллекции пакетов и библиотек JavaScript.
"Вредоносные пакеты используют новый и креативный метод загрузки вредоносного ПО на скомпрометированные устройства — смарт-контракты для блокчейна Ethereum", — сообщила исследователь ReversingLabs Lucija Valentić в блоге в среду.
Два пакета — "colortoolsv2" и "mimelib2", опубликованные в июле, — "использовали смарт-контракты для скрытия вредоносных команд, которые устанавливали загрузчик вредоносного ПО на скомпрометированные системы", — пояснила Valentić.
Чтобы обойти проверки безопасности, пакеты функционировали как простые загрузчики и вместо непосредственного размещения вредоносных ссылок извлекали адреса командного и управляющего сервера из смарт-контрактов.
После установки пакеты запрашивали блокчейн для получения URL-адресов для загрузки вредоносного ПО второго этапа, которое несет полезную нагрузку или выполняет действие, что затрудняет обнаружение, поскольку трафик блокчейна выглядит легитимным.
Новый вектор атаки
Вредоносное ПО, нацеленное на смарт-контракты Ethereum, — не новость; ранее в этом году оно использовалось хакерской группировкой Lazarus Group, связанной с Северной Кореей.
"Новым и отличным является использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, и загрузки вредоносного ПО второго этапа", — сказала Valentić, добавив:
"Ранее мы этого не видели, и это подчеркивает быстрое развитие стратегий обхода обнаружения злоумышленниками, которые прочесывают репозитории с открытым исходным кодом и нацеливаются на разработчиков."
Сложная кампания обмана в сфере криптовалют
Вредоносные пакеты были частью более масштабной, сложной кампании социальной инженерии и обмана, осуществляемой в основном через GitHub.
Злоумышленники создали поддельные репозитории торговых ботов для криптовалют, разработанные для создания видимости высокой надежности за счет поддельных коммитов, фальшивых учетных записей пользователей, созданных специально для отслеживания репозиториев, нескольких учетных записей сопровождающих для имитации активной разработки, а также профессионально выглядящих описаний и документации проектов.
Злоумышленники эволюционируют
В 2024 году исследователи в области безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в репозиториях с открытым исходным кодом, но этот последний вектор атаки "показывает, что атаки на репозитории эволюционируют", объединяя технологию блокчейн со сложной социальной инженерией для обхода традиционных методов обнаружения, заключила Valentić.
Эти атаки не ограничиваются только Ethereum. В апреле поддельный репозиторий GitHub, маскирующийся под торгового бота Solana, использовался для распространения скрытого вредоносного ПО, которое крало учетные данные криптокошельков. Хакеры также нацелились на "Bitcoinlib" — библиотеку Python с открытым исходным кодом, предназначенную для упрощения разработки Bitcoin.
