Les chercheurs en sécurité de ReversingLabs ont identifié une nouvelle attaque de la chaßne d'approvisionnement exploitant les contrats intelligents Ethereum pour obscurcir la distribution de logiciels malveillants. Deux packages NPM malveillants, se faisant passer pour des utilitaires inoffensifs nommés « colortoolsv2 » et « mimelib2 », intégraient des appels aux contrats intelligents pour récupérer des URL cachées qui livraient des charges utiles de deuxiÚme étape aux systÚmes compromis. Cette technique a contourné les inspections classiques statiques et dynamiques du code en intégrant la logique de récupération au sein des transactions blockchain, mélangeant ainsi l'activité malveillante au trafic réseau légitime.
Les attaquants ont enregistrĂ© de faux dĂ©pĂŽts GitHub remplis de commits bidons, dâun nombre de stars gonflĂ© et de contributions utilisateur contrefaites pour renforcer la confiance. Les environnements des victimes exĂ©cutant ces packages contactaient des nĆuds Ethereum pour invoquer des fonctions de contrat, qui retournaient des liens de tĂ©lĂ©chargement cachĂ©s. Cette mĂ©thode augmentait la complexitĂ© de la dĂ©tection, car les rappels basĂ©s sur la blockchain laissaient peu de traces dans les registres logiciels standards. Les analystes notent que cela reprĂ©sente une Ă©volution des tactiques plus anciennes qui sâappuyaient sur des services dâhĂ©bergement publics comme GitHub Gists ou le stockage en cloud pour la livraison des charges.
ReversingLabs rapporte que les Ă©chantillons dâattaque exploitent deux adresses de contrats intelligents contrĂŽlant la distribution des mĂ©tadonnĂ©es des charges utiles chiffrĂ©es. Lors de lâexĂ©cution des packages, le mĂ©canisme de distribution du registre NPM charge un module stub qui interroge le contrat pour un point de terminaison masquĂ©. Ce point de terminaison sert ensuite un chargeur binaire chiffrĂ© en AES, qui dĂ©chiffre et exĂ©cute un malware avancĂ© conçu pour la collecte de credentials et lâexĂ©cution de code Ă distance. Les cibles semblent inclure les postes de travail des dĂ©veloppeurs et les serveurs de build, suscitant des inquiĂ©tudes quant Ă une propagation ultĂ©rieure via les pipelines CI/CD.
Cette campagne souligne lâintersection croissante entre la technologie blockchain et les menaces en cybersĂ©curitĂ©. En intĂ©grant la logique de rĂ©cupĂ©ration dans les opĂ©rations des contrats intelligents, les adversaires obtiennent un canal furtif qui Ă©chappe Ă de nombreuses dĂ©fenses Ă©tablies. Les Ă©quipes de sĂ©curitĂ© sont encouragĂ©es Ă mettre en place un filtrage conscient de la blockchain, Ă surveiller les appels RPC sortants inhabituels et Ă appliquer un audit rigoureux des chaĂźnes dâapprovisionnement pour toutes les dĂ©pendances. Les grands registres de packages et plateformes de dĂ©veloppement sont sous pression pour amĂ©liorer la surveillance des interactions sur chaĂźne liĂ©es aux tĂ©lĂ©chargements de packages.
En rĂ©ponse Ă ces dĂ©couvertes, les fournisseurs dâoutils open-source mettent Ă jour les moteurs de scan pour dĂ©tecter les schĂ©mas dâinvocation de contrats intelligents. Les rĂšgles de pare-feu rĂ©seau et les programmes de formation des dĂ©veloppeurs soulignent dĂ©sormais la nĂ©cessitĂ© dâexaminer attentivement le code qui interagit avec les points de terminaison blockchain. Alors que les adversaires affinent leurs stratĂ©gies dâĂ©vasion on-chain, des efforts coordonnĂ©s au sein de la communautĂ© crypto, des sociĂ©tĂ©s de sĂ©curitĂ© et des mainteneurs des registres sont essentiels pour attĂ©nuer les menaces Ă©mergentes et protĂ©ger les Ă©cosystĂšmes des dĂ©veloppeurs.
Commentaires (0)