ReversingLabsのセキュリティ研究者は、Ethereumスマートコントラクトを利用してマルウェア配布を難読化する新たなサプライチェーン攻撃を特定しました。無害なユーティリティを装った「colortoolsv2」と「mimelib2」という2つの悪意あるNPMパッケージは、スマートコントラクトの呼び出しを組み込み、隠されたURLを取得して第二段階のペイロードを感染システムに配信していました。この手法は、ブロックチェーントランザクション内に取得ロジックを埋め込むことで従来の静的および動的コード検査を回避し、正当なネットワークトラフィックに悪意ある活動を溶け込ませていました。
攻撃者は偽のGitHubリポジトリを登録し、偽のコミット、星の数の水増し、偽ユーザーの貢献を行い信頼性を高めていました。これらのパッケージを実行する被害者環境はEthereumノードに接続し、契約の関数を呼び出して隠されたダウンロードリンクを取得していました。この手法は、ブロックチェーンベースのコールバックが標準のソフトウェアレジストリにほとんど痕跡を残さないため、検出の複雑さを高めています。アナリストは、これはGitHub Gistsやクラウドストレージなどの公開ホスティングサービスを利用してペイロードを配信していた以前の手法の進化形だと指摘しています。
ReversingLabsの報告によると、攻撃サンプルは暗号化されたペイロードメタデータの配布を制御する2つのスマートコントラクトアドレスを悪用しています。パッケージが実行されると、NPMレジストリの配布メカニズムがスタブモジュールをロードし、契約にマスクされたエンドポイントを問い合わせます。このエンドポイントはAESで暗号化されたバイナリローダーを返し、それが高度なマルウェアを復号して実行します。このマルウェアは資格情報の収集やリモートコード実行を目的としており、対象は開発者の作業環境やビルドサーバーを含み、CI/CDパイプラインを通じたさらなる拡散の懸念があります。
このキャンペーンは、ブロックチェーン技術とサイバーセキュリティ脅威の融合が進んでいることを示しています。スマートコントラクトの操作に取得ロジックを埋め込むことで、攻撃者は多くの既存防御を回避するステルスチャネルを確保しています。セキュリティチームはブロックチェーン対応のフィルタリングを導入し、異常なアウトバウンドRPCコールの監視やサプライチェーン監査の強化を求められています。主要なパッケージレジストリや開発プラットフォームは、パッケージのダウンロードに関連するオンチェーンデータの監視強化を迫られています。
これらの調査結果を受けて、オープンソースのツールベンダーはスマートコントラクト呼び出しパターンの検出に向けたスキャンエンジンの更新を進めています。ネットワークファイアウォールルールや開発者教育プログラムでは、ブロックチェーンエンドポイントと連携するコードの精査の重要性が強調されています。攻撃者がオンチェーン回避戦略を進化させる中で、暗号コミュニティ、セキュリティ企業、レジストリ管理者間の連携が新たな脅威の軽減と開発者エコシステムの保護に不可欠です。
コメント (0)