Ερευνητές ασφαλείας στην ReversingLabs εντόπισαν μια νέα επίθεση στην αλυσίδα εφοδιασμού που αξιοποιεί έξυπνα συμβόλαια του Ethereum για να συγκαλύψει τη διανομή κακόβουλου λογισμικού. Δύο κακόβουλα πακέτα NPM, που παρουσιαζόντουσαν ως αθώες βοηθητικές εφαρμογές με ονόματα «colortoolsv2» και «mimelib2», ενσωμάτωσαν κλήσεις έξυπνων συμβολαίων για να αντλήσουν κρυφές διευθύνσεις URL που παρέδιδαν δευτερεύοντα φορτία σε μολυσμένα συστήματα. Αυτή η τεχνική παρακάμπτει τις συμβατικές στατικές και δυναμικές επιθεωρήσεις κώδικα με την ενσωμάτωση της λογικής ανάκτησης μέσα σε συναλλαγές blockchain, συγχωνεύοντας τη κακόβουλη δραστηριότητα με το νόμιμο δίκτυο.
Οι επιτιθέμενοι κατέθεσαν πλαστά αποθετήρια GitHub με ψευδείς δεσμεύσεις, φουσκωμένους αριθμούς αστεριών και πλαστές συνεισφορές χρηστών για να ενισχύσουν την εμπιστοσύνη. Τα περιβάλλοντα των θυμάτων που εκτελούσαν αυτά τα πακέτα επικοινωνούσαν με κόμβους Ethereum για να εκτελέσουν λειτουργίες συμβολαίων, οι οποίες επέστρεφαν κρυμμένους συνδέσμους λήψης. Αυτή η μέθοδος αύξησε την πολυπλοκότητα της ανίχνευσης, καθώς οι επιστροφές κλήσεων βάσει blockchain άφηναν ελάχιστα ίχνη σε τυπικά μητρώα λογισμικού. Οι αναλυτές σημειώνουν ότι αυτό αντιπροσωπεύει μια εξέλιξη παλαιότερων τακτικών που βασίζονταν σε δημόσιες υπηρεσίες φιλοξενίας όπως τα GitHub Gists ή η αποθήκευση νέφους για τη διανομή φορτίων.
Η ReversingLabs αναφέρει ότι τα δείγματα της επίθεσης εκμεταλλεύονται δύο διευθύνσεις έξυπνων συμβολαίων που ελέγχουν τη διανομή μεταδεδομένων κρυπτογραφημένων φορτίων. Κατά την εκτέλεση του πακέτου, ο μηχανισμός διανομής του μητρώου NPM φορτώνει ένα υποκατάστατο μονάδας που ερωτά το συμβόλαιο για μια κρυφή τελική διεύθυνση. Η τελική διεύθυνση εξυπηρετεί έναν δυαδικό φορτωτή κρυπτογραφημένο με AES, ο οποίος αποκρυπτογραφεί και εκτελεί προηγμένο κακόβουλο λογισμικό σχεδιασμένο για συλλογή διαπιστευτηρίων και απομακρυσμένη εκτέλεση κώδικα. Στόχοι φαίνεται να είναι σταθμοί εργασίας προγραμματιστών και διακομιστές κατασκευής, εγείροντας ανησυχίες για περαιτέρω διάδοση μέσω CI/CD pipelines.
Αυτή η εκστρατεία υπογραμμίζει τη διαρκώς αυξανόμενη σύγκλιση της τεχνολογίας blockchain με τις απειλές ασφάλειας στον κυβερνοχώρο. Ενσωματώνοντας τη λογική ανάκτησης μέσα στις λειτουργίες έξυπνων συμβολαίων, οι αντίπαλοι αποκτούν ένα κρυφό κανάλι που αποφεύγει πολλές καθιερωμένες άμυνες. Οι ομάδες ασφάλειας προτρέπονται να εφαρμόσουν φιλτράρισμα ευαισθητοποιημένο στο blockchain, να παρακολουθούν ασυνήθιστες εξερχόμενες κλήσεις RPC και να επιβάλλουν αυστηρούς ελέγχους στην αλυσίδα εφοδιασμού για όλες τις εξαρτήσεις. Τα μεγάλα μητρώα πακέτων και οι πλατφόρμες ανάπτυξης δέχονται πιέσεις για την ενίσχυση της παρακολούθησης των αλληλεπιδράσεων δεδομένων on-chain που σχετίζονται με τις λήψεις πακέτων.
Σε απάντηση σε αυτά τα ευρήματα, οι προμηθευτές εργαλείων ανοιχτού κώδικα ενημερώνουν τις μηχανές σάρωσης για να ανιχνεύουν πρότυπα κλήσεων έξυπνων συμβολαίων. Οι κανόνες τείχους προστασίας δικτύου και τα προγράμματα εκπαίδευσης προγραμματιστών τώρα δίνουν έμφαση στην ανάγκη να εξετάζεται προσεκτικά ο κώδικας που αλληλεπιδρά με σημεία πρόσβασης blockchain. Καθώς οι αντίπαλοι βελτιώνουν τις στρατηγικές αποφυγής on-chain, συντονισμένες προσπάθειες στην κοινότητα κρυπτονομισμάτων, στις εταιρείες ασφάλειας και στους διαχειριστές μητρώων είναι κρίσιμες για την αντιμετώπιση των αναδυόμενων απειλών και την προστασία των οικοσυστημάτων προγραμματιστών.
Σχόλια (0)