ReversingLabsi turvauurijad on tuvastanud uue tarneahela ründe, mis kasutab Ethereumile tuginevaid nutilepinguid pahavara levitamise varjamiseks. Kaks pahatahtlikku NPM-i paketti, mis maskeerusid kahjutute utiliitidena nimega „colortoolsv2“ ja „mimelib2“, integreerisid nutilepingukõnesid, et hankida varjatud URL-e, mis toimetasid teise astme koormusi kompromiteeritud süsteemidesse. See tehnika möödus tavapärasest staatilisest ja dünaamilisest koodi kontrollist, paigutades taastemekaanika plokiahelatehingute sisse, sulandades pahatahtliku tegevuse seaduslikku võrguliiklusesse.
Ründajad registreerisid võltsitud GitHubi hoidlaid valekohustustega, suurendasid staaride arvu ja võltskasutajate panuseid usalduse tõstmiseks. Ohvrite keskkonnad, kus neid pakette käivitati, võtsid ühendust Ethereum sõlmedega, et kutsuda lepingufunktsioone, mis tagastasid varjatud allalaadimislingid. See meetod suurendas tuvastamise keerukust, kuna plokiahelapõhised tagasikõned jättis tavapärastes tarkvararegistrites minimaalsed jäljed. Analüütikud märgivad, et see on vanemate taktikate areng, mis tuginesid avalikele majutusteenustele nagu GitHub Gists või pilvesalvestus koormuse edastamiseks.
ReversingLabs teatab, et ründeproovid kasutavad kahte nutilepingu aadressi, mis kontrollivad krüpteeritud koormuse metaandmete levitamist. Paketi käivitamisel laadib NPM-i registri levitamismehhanism stubi mooduli, mis pärib lepingust maskeeritud lõpp-punkti. Lõpp-punkt teenindab seejärel AES-krüpteeritud binaarlaadurit, mis dekrüpteerib ja täidab täiustatud pahavara, mis on mõeldud mandaadi korjamiseks ja kaugkoodieksekutsiooniks. Sihtmärkideks näivad olevat arendajate tööjaamad ja koostamiserverid, tõstes muret võimaliku külvamise kohta CI/CD torujuhtmete kaudu.
See kampaania rõhutab plokiahela tehnoloogia ja küberturveohtude kasvavat põimumist. Paigutades taasteloogika nutilepingute operatsioonidesse, saavad ründajad varjatud kanali, mis möödub paljudest kindlatest kaitsetest. Turvatiimidel soovitatakse rakendada plokiahelateadlikku filtreerimist, jälgida ebatavalisi väljaminevaid RPC-kõnesid ja kehtestada ranget tarneahela auditeerimist kõigi sõltuvuste suhtes. Suured paketi registrid ja arendusplatvormid on surve all tugevdada plokiahelapõhiste andmete jälgimist, mis on seotud pakettide allalaadimisega.
Neile leidudele reageerides uuendavad avatud lähtekoodiga tööriistade müüjad skaneerimismootoreid nutilepingukõnede mustrite tuvastamiseks. Võrgu tulemüürireeglid ja arendajate koolitusprogrammid rõhutavad nüüd vajadust hoolikalt kontrollida koodi, mis suhtleb plokiahela lõpp-punktidega. Kuna ründajad täiustavad plokiahelasiseseid peitmisstrateegiaid, on koordineeritud pingutused krüptokogukonna, turvefirmade ja registri haldajate vahel kriitilise tähtsusega tekkivate ohtude leevendamiseks ja arendajakeskkondade kaitsmiseks.
Kommentaarid (0)