Beveiligingsonderzoekers bij ReversingLabs hebben een nieuwe supply chain-aanval geïdentificeerd waarbij Ethereum smart contracts worden gebruikt om malwareverspreiding te verbergen. Twee kwaadaardige NPM-pakketten, vermomd als onschuldige hulpprogramma's genaamd “colortoolsv2” en “mimelib2,” integreerden smart contract-aanroepen om verborgen URL's op te halen die tweede fase payloads afleverden aan geïnfecteerde systemen. Deze techniek omzeilde conventionele statische en dynamische code-inspecties door ophaallogica in blockchaintransacties te embedden, waardoor kwaadaardige activiteiten vermengd werden met legitiem netwerkverkeer.
De aanvallers registreerden gefabriceerde GitHub-repositories gevuld met valse commits, opgeblazen sterrenaantallen en vervalste gebruikersbijdragen om vertrouwen te vergroten. Omgevingen van slachtoffers die deze pakketten uitvoerden, namen contact op met Ethereum-nodes om contractfuncties aan te roepen, die vervolgens verborgen downloadlinks teruggaven. Deze methode verhoogde de complexiteit van detectie, omdat blockchain-gebaseerde callbacks minimale sporen achterlieten in standaard software-registraties. Analisten merken op dat dit een evolutie is van oudere tactieken die vertrouwden op publieke hostingdiensten zoals GitHub Gists of cloudopslag voor payloadlevering.
ReversingLabs meldt dat de aanvalsmateriaal twee smart contract-adressen exploiteert die de distributie van versleutelde payloadmetadata beheren. Bij uitvoering van het pakket laadt het distributiemechanisme van de NPM-registry een stubmodule die het contract bevraagt naar een gemaskeerd eindpunt. Het eindpunt levert vervolgens een AES-versleutelde binaire loader die geavanceerde malware ontsleutelt en uitvoert, gericht op het verzamelen van inloggegevens en remote code execution. Doelwitten lijken ontwikkelaar workstations en buildservers te omvatten, wat zorgen baart over verdere verspreiding via CI/CD-pijplijnen.
Deze campagne onderstreept de toenemende kruising van blockchaintechnologie en cybersecuritybedreigingen. Door ophaallogica binnen smart contract-operaties te embedden, verkrijgen tegenstanders een geheime kanaal dat veel gevestigde verdedigingsmechanismen omzeilt. Beveiligingsteams worden dringend aanbevolen blockchain-bewuste filtering te implementeren, ongebruikelijke uitgaande RPC-aanroepen te monitoren en strikte supply chain-audits voor alle afhankelijkheden af te dwingen. Grote pakketregistries en ontwikkelplatformen staan onder druk om monitoring van on-chain data-interacties gerelateerd aan pakketdownloads te verbeteren.
Als reactie op deze bevindingen werken open-source toolleveranciers hun scan-engines bij om patronen van smart contract-aanroepen te detecteren. Netwerkfirewallregels en opleidingsprogramma's voor ontwikkelaars benadrukken nu de noodzaak om code die met blockchain-eindpunten communiceert kritisch te bekijken. Terwijl tegenstanders hun on-chain ontwijkingsstrategieën verfijnen, zijn gecoördineerde inspanningen vanuit de crypto-community, beveiligingsbedrijven en registrybeheerders cruciaal om opkomende dreigingen te beperken en ontwikkelaars-ecosystemen te beschermen.
Reacties (0)