A ReversingLabs biztonsági kutatói egy új ellátási lánc elleni támadást azonosítottak, amely az Ethereum okosszerződéseit használja fel a rosszindulatú programok terjesztésének elrejtésére. Két rosszindulatú NPM csomag, amelyek ártalmatlan segédeszközöknek álcázták magukat “colortoolsv2” és “mimelib2” néven, okosszerződés-hívásokat integráltak, hogy rejtett URL-eket hívjanak meg, melyek második szakaszbeli károkozókat juttattak el a fertőzött rendszerekre. Ez a technika megkerülte a hagyományos statikus és dinamikus kólevizsgálatot azzal, hogy a lekérdezési logikát a blokklánc tranzakcióiba ágyazta, így a rosszindulatú tevékenységet beleolvasztotta a legitim hálózati forgalomba.
A támadók hamis GitHub adattárakat regisztráltak, amelyek hamis commitokat, felfújt csillagszámokat és hamis felhasználói hozzájárulásokat tartalmaztak a bizalom növelése érdekében. Az áldozati környezetek, amelyek ezeket a csomagokat futtatták, Ethereum csomópontokhoz kapcsolódtak, hogy okosszerződés-funkciókat hívjanak meg, amelyek elrejtett letöltési linkeket adtak vissza. Ez a módszer növelte a felismerés bonyolultságát, mivel a blokkláncalapú visszahívások minimális nyomot hagytak a hagyományos szoftver regisztrációs nyilvántartásokban. Az elemzők megjegyzik, hogy ez az idősebb taktikák továbbfejlődése, amelyek nyilvános tárhelyszolgáltatásokat, például GitHub Gist-eket vagy felhőtárhelyeket használtak a károkozók terjesztésére.
A ReversingLabs beszámolója szerint a támadási minták két okosszerződés-címet használnak, amelyek titkosított károkozó metaadatok terjesztését irányítják. A csomag végrehajtásakor az NPM regisztrációs elosztó mechanizmus egy stub modult tölt be, amely lekérdezi a szerződést egy maszkolt végpontért. Az végpont ezután egy AES-titkosított bináris betöltőt szolgáltat, amely visszafejti és végrehajtja a fejlett rosszindulatú programot, amely hitelesítő adatok gyűjtésére és távoli kódvégrehajtásra készült. A célpontok között fejlesztői munkaállomások és build szerverek is szerepelnek, ami aggodalmat kelt a CI/CD csővezetékeken keresztüli további terjedés lehetősége miatt.
Ez a kampány hangsúlyozza a blokklánc-technológia és a kibervédelmi fenyegetések növekvő metszéspontját. Azáltal, hogy a lekérdezési logikát okosszerződés-műveletekbe ágyazzák, az ellenfelek egy rejtett csatornát kapnak, amely számos meglévő védelmi mechanizmust megkerül. A biztonsági csapatokat arra ösztönzik, hogy alkalmazzanak blokklánc-ismerő szűrőket, figyeljék a szokatlan kimenő RPC hívásokat, és érvényesítsék a szigorú ellátási lánc auditálást minden függőségnél. A jelentős csomagregiszterek és fejlesztői platformok nyomás alatt állnak, hogy növeljék az on-chain adatkölcsönhatások megfigyelését, amelyek a csomagletöltésekhez kapcsolódnak.
Válaszul ezekre a megállapításokra, a nyílt forráskódú eszközfejlesztők frissítik szkennelő motorjaikat, hogy felismerjék az okosszerződés-hívási mintázatokat. A hálózati tűzfal szabályokat és a fejlesztői oktatási programokat most már a blokklánc végpontokkal kapcsolódó kódok alapos vizsgálatára helyezik a hangsúlyt. Ahogy az ellenfelek fejlesztik az on-chain kikerülési stratégiákat, összehangolt erőfeszítésekre van szükség a kriptó közösség, a biztonsági cégek és a regisztrációs szolgáltatók között az új fenyegetések mérséklése és a fejlesztői ökoszisztémák védelme érdekében.
Hozzászólások (0)