Крипто хакерите използват смарт контракти на Ethereum за скриване на зловреден софтуер

Изследователи по сигурността от ReversingLabs идентифицираха нов тип атака по веригата за доставки, използваща смарт договори на Ethereum за маскиране на разпространението на злонамерен софтуер. Два зловредни NPM пакета, представящи се като безобидни инструменти на име „colortoolsv2“ и „mimelib2“, интегрираха повиквания към смарт договори, за да извличат скрити URL адреси, които доставяха вторични payload-и на компрометирани системи. Тази техника заобиколила конвенционалните статични и динамични проверки на кода чрез вграждане на логика за извличане в блокчейн транзакции, смесвайки зловредна активност с легитимен мрежови трафик.

Атакуващите регистрираха фалшиви GitHub хранилища, заредени с измислени комити, увеличен брой звезди и фалшиви потребителски приноси, за да повишат доверието. Заразените среди, изпълняващи тези пакети, се свързваха с Ethereum нодове, за да извикват функции на договори, които връщаха скрити линкове за изтегляне. Този метод усложняваше откриването, тъй като обратните повиквания на блокчейн оставят минимални следи в стандартните софтуерни регистри. Анализаторите отбелязват, че това представлява еволюция на по-стари тактики, базирани на публични хостинг услуги като GitHub Gists или облачно съхранение за разпространение на payload-и.

ReversingLabs съобщава, че пробите от атаката използват два адреса на смарт договори, контролиращи разпространението на криптирана мета информация за payload-ите. При изпълнение на пакета, механизмът за разпространение на NPM регистъра зарежда модул за заглушаване, който запитва договора за маскиран крайна точка. Тази крайна точка след това предоставя AES-криптиран двоичен зареждач, който декриптира и изпълнява сложен злонамерен софтуер, предназначен за кражба на идентификационни данни и отдалечено изпълнение на код. Целите изглежда включват работни станции на разработчици и сървъри за билдове, повдигайки опасения за по-нататъшно разпространение през CI/CD пайплайни.

Тази кампания подчертава нарастващото пресичане между блокчейн технологията и заплахите за киберсигурност. Чрез вграждане на логиката за извличане в операциите на смарт договорите, нападателите получават скрит канал, който заобикаля много утвърдени защити. Службите по сигурността се призовават да внедрят филтриране, осведомено за блокчейн, да следят за необичайни изходящи RPC повиквания и да налагат строги одити на веригата за доставки за всички зависимости. Големите регистри на пакети и платформи за разработка са под натиск да подобрят мониторинга на взаимодействията с данни в блокчейн, свързани с изтеглянето на пакети.

В отговор на тези открития, доставчиците на отворен код актуализират сканиращите си двигатели, за да откриват модели на извикване на смарт договори. Правилата за мрежови защитни стени и програмите за обучение на разработчици вече подчертават необходимостта от внимателен преглед на кода, който взаимодейства с блокчейн крайни точки. С усъвършенстването от страна на нападателите на стратегии за заобикаляне в блокчейн, координираните усилия сред крипто общността, фирмите за сигурност и поддръжниците на регистрите са от съществено значение за смекчаване на възникващите заплахи и защита на екосистемите на разработчиците.