I ricercatori di sicurezza di ReversingLabs hanno identificato un nuovo attacco alla supply chain che sfrutta i contratti intelligenti di Ethereum per offuscare la distribuzione di malware. Due pacchetti NPM maligni, mascherati da utilità innocue chiamate “colortoolsv2” e “mimelib2,” integravano chiamate ai contratti intelligenti per recuperare URL nascosti che fornivano payload di secondo stadio ai sistemi compromessi. Questa tecnica ha bypassato le tradizionali ispezioni statiche e dinamiche del codice incorporando la logica di recupero all’interno delle transazioni blockchain, mimetizzando l’attività malevola nel traffico di rete legittimo.
Gli attaccanti hanno registrato repository GitHub falsificati, seminati con commit fasulli, conteggi gonfiati di stelle e contributi utente contraffatti per aumentare la fiducia. Gli ambienti vittima che eseguivano questi pacchetti contattavano i nodi Ethereum per invocare funzioni del contratto, che restituivano link di download nascosti. Questo metodo ha aumentato la complessità del rilevamento, poiché le callback basate su blockchain lasciavano tracce minime nei registri software standard. Gli analisti osservano che ciò rappresenta un’evoluzione di tattiche più vecchie che si basavano su servizi di hosting pubblici come GitHub Gists o storage cloud per la consegna dei payload.
ReversingLabs riferisce che i campioni dell’attacco sfruttano due indirizzi di contratti intelligenti che controllano la distribuzione dei metadati del payload criptato. All’esecuzione del pacchetto, il meccanismo di distribuzione del registro NPM carica un modulo stub che interroga il contratto per un endpoint mascherato. L’endpoint serve quindi un loader binario cifrato AES, che decritta ed esegue malware avanzato progettato per il furto di credenziali e l’esecuzione remota di codice. I bersagli sembrano includere postazioni di sviluppo e server di build, suscitando preoccupazioni per una possibile ulteriore propagazione attraverso pipeline CI/CD.
Questa campagna sottolinea l’intersezione crescente tra tecnologia blockchain e minacce alla sicurezza informatica. Incorporando la logica di recupero nelle operazioni dei contratti intelligenti, gli avversari ottengono un canale stealth che elude molte difese consolidate. I team di sicurezza sono invitati a implementare filtri consapevoli della blockchain, monitorare chiamate RPC insolite in uscita e applicare rigorosi audit della supply chain per tutte le dipendenze. I principali registri di pacchetti e piattaforme di sviluppo si trovano sotto pressione per migliorare il monitoraggio delle interazioni on-chain legate ai download dei pacchetti.
In risposta a queste scoperte, i fornitori di strumenti open-source stanno aggiornando i motori di scansione per rilevare pattern di invocazione dei contratti intelligenti. Le regole del firewall di rete e i programmi di formazione per sviluppatori ora enfatizzano la necessitĂ di esaminare il codice che interagisce con endpoint blockchain. Mentre gli avversari affinano le strategie di evasione on-chain, sforzi coordinati tra comunitĂ crypto, aziende di sicurezza e manutentori dei registri sono fondamentali per mitigare le minacce emergenti e proteggere gli ecosistemi degli sviluppatori.
Commenti (0)