Sicherheitsforscher bei ReversingLabs haben einen neuartigen Supply-Chain-Angriff identifiziert, der Ethereum-Smart-Contracts nutzt, um die Verbreitung von Malware zu verschleiern. Zwei bösartige NPM-Pakete, die sich als harmlose Dienstprogramme namens „colortoolsv2“ und „mimelib2“ tarnen, integrierten Smart-Contract-Aufrufe, um versteckte URLs abzurufen, die zweite Angriffsstufen auf kompromittierte Systeme übermittelten. Diese Technik umging herkömmliche statische und dynamische Code-Analysen, indem die Abruf-Logik in Blockchain-Transaktionen eingebettet wurde, wodurch bösartige Aktivitäten mit legitimen Netzwerkverkehr vermischt wurden.
Die Angreifer registrierten gefälschte GitHub-Repositories, die mit falschen Commits, aufgeblasenen Sternenzahlen und gefälschten Benutzerbeiträgen versehen waren, um Vertrauen zu schaffen. Opferumgebungen, die diese Pakete ausführten, stellten Verbindungen zu Ethereum-Knoten her, um Vertragsfunktionen aufzurufen, die versteckte Download-Links zurückgaben. Diese Methode erhöhte die Erkennungsbarriere, da blockchain-basierte Rückrufe in gängigen Software-Registries nur minimale Spuren hinterließen. Analysten stellen fest, dass dies eine Weiterentwicklung älterer Taktiken darstellt, die auf öffentliche Hosting-Dienste wie GitHub Gists oder Cloud-Speicher zur Zustellung von Schadcode setzten.
ReversingLabs berichtet, dass die Angriffsmuster zwei Smart-Contract-Adressen ausnutzen, die die Verteilung von verschlüsselten Payload-Metadaten steuern. Beim Ausführen der Pakete lädt der Verteilungsmechanismus des NPM-Registers ein Stub-Modul, das den Vertrag nach einem maskierten Endpunkt abfragt. Dieser Endpunkt liefert dann einen AES-verschlüsselten Binär-Loader, der eine fortschrittliche Malware entschlüsselt und ausführt, die für das Sammeln von Zugangsdaten und die Remote-Code-Ausführung konzipiert ist. Zielscheiben scheinen Entwickler-Arbeitsstationen und Build-Server zu sein, was Befürchtungen über eine weitere Ausbreitung durch CI/CD-Pipelines weckt.
Diese Kampagne unterstreicht die wachsende Schnittstelle von Blockchain-Technologie und Cybersicherheitsbedrohungen. Indem die Abruf-Logik in Smart-Contract-Operationen eingebettet wird, gewinnen Angreifer einen verdeckten Kanal, der viele etablierte Verteidigungsmaßnahmen umgeht. Sicherheitsteams werden aufgefordert, blockchain-sensible Filter zu implementieren, ungewöhnliche ausgehende RPC-Aufrufe zu überwachen und strenge Prüfungen der Lieferkette für alle Abhängigkeiten durchzusetzen. Große Paketregistries und Entwicklungsplattformen sehen sich unter Druck, die Überwachung von On-Chain-Dateninteraktionen in Verbindung mit Paketdownloads zu verbessern.
Als Reaktion auf diese Erkenntnisse aktualisieren Anbieter von Open-Source-Tools ihre Scan-Engines, um Muster von Smart-Contract-Aufrufen zu erkennen. Netzwerkwallregeln und Schulungsprogramme für Entwickler betonen nun die Notwendigkeit, Code, der mit Blockchain-Endpunkten interagiert, genau zu prüfen. Während Angreifer ihre On-Chain-Umgehungsstrategien verfeinern, sind koordinierte Anstrengungen der Krypto-Community, Sicherheitsfirmen und Registry-Betreiber entscheidend, um aufkommende Bedrohungen zu dämpfen und Entwicklerökosysteme zu schützen.
Kommentare (0)