Bezpečnostní výzkumníci ze společnosti ReversingLabs identifikovali nový útok na dodavatelský řetězec využívající chytré kontrakty Ethereum k zakrytí distribuce malwaru. Dva škodlivé balíčky NPM se vydávaly za neškodné nástroje s názvy „colortoolsv2“ a „mimelib2“ a integrovaly volání chytrých kontraktů pro získání skrytých URL adres, které doručovaly druhé fáze škodlivého kódu do kompromitovaných systémů. Tato technika obejmula konvenční statické i dynamické kontroly kódu tím, že vložila logiku získávání do blockchainových transakcí, čímž smísila škodlivou činnost s legitimním síťovým provozem.
Útočníci zaregistrovali falešné repozitáře na GitHubu naplněné nepravými commity, nadsazeným počtem hvězdiček a falešnými příspěvky uživatelů, aby posílili důvěryhodnost. Prostředí obětí vykonávajících tyto balíčky kontaktovalo Ethereum uzly a vyvolávalo funkce kontraktů, které vracely skryté odkazy ke stažení. Tato metoda zvýšila složitost detekce, protože blockchainové zpětné volání zanechávalo minimální stopy ve standardních softwarových registrech. Analytici poznamenávají, že se jedná o evoluci starších taktik, které se spoléhaly na veřejné hostingové služby jako GitHub Gists nebo cloudové úložiště pro doručení škodlivého kódu.
ReversingLabs uvádí, že vzorky útoku využívají dvě adresy chytrých kontraktů kontrolujících distribuci šifrovaných metadat škodlivého kódu. Po spuštění balíčku mechanismus distribuce registru NPM načte stub modul, který dotazuje kontrakt na maskovaný endpoint. Endpoint poté slouží binární načítací modul šifrovaný AES, který dešifruje a spouští pokročilý malware navržený pro získávání přihlašovacích údajů a vzdálené provádění kódu. Cíle se zdají zahrnovat pracovní stanice vývojářů a build servery, což vyvolává obavy z dalšího šíření skrze CI/CD pipeline.
Tato kampaň zdůrazňuje rostoucí propojení technologie blockchain a kybernetických hrozeb. Vkládáním logiky získávání do operací chytrých kontraktů získávají protivníci skrytý kanál, který obchází mnoho zavedených obranných mechanismů. Bezpečnostní týmy jsou vyzývány k implementaci filtrů s podporou blockchainu, monitorování neobvyklých odchozích RPC volání a přísným auditům dodavatelského řetězce u všech závislostí. Hlavní registry balíčků a platformy pro vývoj čelí tlaku na zlepšení monitoringu interakcí s on-chain daty spojenými se stahováním balíčků.
V reakci na tato zjištění dodavatelé open-source nástrojů aktualizují skenovací enginy pro detekci vzorců vyvolávání chytrých kontraktů. Pravidla síťových firewallů a vzdělávací programy pro vývojáře nyní zdůrazňují nutnost pečlivého přezkoumání kódu, který komunikuje s blockchainovými endpointy. Jak protivníci zdokonalují on-chain vyhýbací strategie, koordinované úsilí napříč kryptokomunitou, bezpečnostními firmami a správci registrů je klíčové pro zmírnění vznikajících hrozeb a ochranu vývojářských ekosystémů.
Komentáře (0)