Investigadors de seguretat de ReversingLabs han identificat un nou atac a la cadena de subministrament que utilitza contractes intel·ligents d’Ethereum per ofuscar la distribució de programari maliciós. Dos paquets maliciosos de NPM, fent-se passar per utilitats inofensives anomenades “colortoolsv2” i “mimelib2”, van integrar trucades a contractes intel·ligents per obtenir URL ocultes que lliuraven càrregues útils de segon nivell als sistemes compromesos. Aquesta tècnica va evitar les inspeccions convencionals de codi estàtic i dinàmic en incrustar la lògica de recuperació dins de transaccions blockchain, barrejant l'activitat maliciosa en el trànsit de xarxa legítim.
Els atacants van registrar repositoris falsos a GitHub plantats amb commits falsos, comptatges estrella inflats i contribucions d’usuari falsificades per augmentar la confiança. Els entorns víctimes que executaven aquests paquets contactaven amb nodes d’Ethereum per invocar funcions de contracte, que retornaven enllaços de descàrrega ocults. Aquest mètode va incrementar la complexitat de detecció, ja que les devolucions d’appels basades en blockchain deixaven traces mínimes en els registres de programari estàndard. Els analistes assenyalen que això representa una evolució de tàctiques antigues que depenien de serveis d’allotjament públic com GitHub Gists o emmagatzematge al núvol per a la lliurament de càrregues útils.
ReversingLabs informa que les mostres de l’atac exploten dues adreces de contracte intel·ligent que controlen la distribució de metadades cifrades de la càrrega útil. En executar el paquet, el mecanisme de distribució del registre NPM carrega un mòdul interlocutor que consulta el contracte per un punt final enmascarat. Aquest punt final proporciona un carregador binari xifrat amb AES, que desxifra i executa programari maliciós avançat dissenyat per recopilar credencials i executar codi remotament. Sembla que els objectius inclouen estacions de treball de desenvolupadors i servidors de construcció, generant preocupacions sobre la propagació addicional a través de canals CI/CD.
Aquesta campanya subratlla la creixent intersecció entre la tecnologia blockchain i les amenaces de ciberseguretat. En incrustar la lògica de recuperació dins les operacions de contractes intel·ligents, els adversaris obtenen un canal furtiu que evita moltes defenses establertes. Es recomana als equips de seguretat implementar filtratge conscient de blockchain, monitoritzar crides RPC sortints inusuals i aplicar auditories estrictes de la cadena de subministrament per a totes les dependències. Els principals registres de paquets i plataformes de desenvolupament afronten la pressió d’enfortir la supervisió de les interaccions de dades on-chain relacionades amb les descàrregues de paquets.
En resposta a aquestes troballes, els proveïdors d’eines de codi obert actualitzen els motors d’escaneig per detectar patrons d’invocació de contractes intel·ligents. Les regles dels tallafocs de xarxa i els programes de formació per a desenvolupadors ara emfatitzen la necessitat d’examinar el codi que interactua amb punts finals blockchain. A mesura que els adversaris perfeccionen les estratègies d’evasió on-chain, els esforços coordinats entre la comunitat cripto, firmes de seguretat i mantenidors de registres són crucials per mitigar amenaces emergents i protegir els ecosistemes de desenvolupadors.
Comentaris (0)