Investigadores de seguridad en ReversingLabs han identificado un nuevo ataque a la cadena de suministro que aprovecha contratos inteligentes de Ethereum para ocultar la distribución de malware. Dos paquetes maliciosos de NPM, que se hacían pasar por utilidades inocuas llamadas “colortoolsv2” y “mimelib2”, integraron llamadas a contratos inteligentes para obtener URLs ocultas que entregaban cargas útiles de segunda fase a sistemas comprometidos. Esta técnica eludió las inspecciones convencionales estáticas y dinámicas del código al incrustar la lógica de recuperación dentro de transacciones blockchain, mezclando la actividad maliciosa con el tráfico legítimo de la red.
Los atacantes registraron repositorios ficticios en GitHub sembrados con commits falsos, contaron estrellas infladas y contribuciones de usuarios falsas para aumentar la confianza. Los entornos de las víctimas que ejecutaban estos paquetes contactaban nodos de Ethereum para invocar funciones de contrato, que devolvían enlaces de descarga ocultos. Este método aumentó la complejidad de la detección, ya que las llamadas de retorno basadas en blockchain dejaban pocas trazas en los registros estándar de software. Los analistas señalan que esto representa una evolución de tácticas antiguas que dependían de servicios de alojamiento público como GitHub Gists o almacenamiento en la nube para la entrega de cargas útiles.
ReversingLabs informa que las muestras del ataque explotan dos direcciones de contratos inteligentes que controlan la distribución de metadatos de cargas útiles cifradas. Al ejecutar el paquete, el mecanismo de distribución del registro NPM carga un módulo stub que consulta el contrato para un endpoint enmascarado. Luego, el endpoint sirve un cargador binario cifrado con AES, que descifra y ejecuta malware avanzado diseñado para la recopilación de credenciales y la ejecución remota de código. Los objetivos parecen incluir estaciones de trabajo de desarrolladores y servidores de compilación, lo que genera preocupación sobre una mayor propagación a través de pipelines CI/CD.
Esta campaña subraya la creciente intersección entre la tecnología blockchain y las amenazas de ciberseguridad. Al incrustar la lógica de recuperación en operaciones de contratos inteligentes, los adversarios obtienen un canal sigiloso que evade muchas defensas establecidas. Se insta a los equipos de seguridad a implementar filtros conscientes de blockchain, monitorear llamadas RPC salientes inusuales y hacer cumplir auditorías estrictas de la cadena de suministro para todas las dependencias. Los principales registros de paquetes y plataformas de desarrollo enfrentan presión para mejorar la vigilancia de interacciones de datos en cadena vinculadas a descargas de paquetes.
En respuesta a estos hallazgos, los proveedores de herramientas de código abierto están actualizando motores de escaneo para detectar patrones de invocación de contratos inteligentes. Las reglas de firewall de red y los programas de educación para desarrolladores ahora enfatizan la necesidad de examinar el código que interactúa con endpoints blockchain. A medida que los adversarios refinan estrategias de evasión en cadena, los esfuerzos coordinados entre la comunidad criptográfica, empresas de seguridad y mantenedores de registros son críticos para mitigar amenazas emergentes y salvaguardar los ecosistemas de desarrolladores.
Comentarios (0)