Badacze ds. bezpieczeństwa w ReversingLabs zidentyfikowali nowy atak na łańcuch dostaw wykorzystujący inteligentne kontrakty Ethereum do maskowania dystrybucji złośliwego oprogramowania. Dwa złośliwe pakiety NPM, podszywające się pod niewinne narzędzia o nazwach „colortoolsv2” i „mimelib2”, integrowały wywołania inteligentnych kontraktów w celu pobrania ukrytych adresów URL, które dostarczały ładunki drugiego etapu do zainfekowanych systemów. Ta technika omijała konwencjonalne inspekcje statycznego i dynamicznego kodu, osadzając logikę pobierania w transakcjach blockchain, co pozwalało na ukrycie złośliwej aktywności w ramach legalnego ruchu sieciowego.
Atakujący rejestrowali fałszywe repozytoria GitHub zatwierdzane fikcyjnymi commitami, zawyżoną liczbą gwiazdek oraz podrobionymi wkładami użytkowników, aby zwiększyć zaufanie. Środowiska ofiar wykonujące te pakiety kontaktowały się z węzłami Ethereum w celu wywołania funkcji kontraktów, które zwracały ukryte linki do pobrania. Ta metoda zwiększała złożoność wykrycia, ponieważ wywołania zwrotne oparte na łańcuchu bloków pozostawiały minimalne ślady w standardowych rejestrach oprogramowania. Analitycy zauważają, że jest to ewolucja starszych taktyk bazujących na publicznych usługach hostingu, takich jak GitHub Gists czy chmura, do dostarczania ładunków.
ReversingLabs raportuje, że próbki ataków wykorzystują dwa adresy inteligentnych kontraktów kontrolujące dystrybucję zaszyfrowanych metadanych ładunków. Po uruchomieniu pakietu mechanizm dystrybucji rejestru NPM ładuje moduł stub, który pyta kontrakt o zamaskowany punkt końcowy. Punkt ten następnie dostarcza loader binarny zaszyfrowany AES, który odszyfrowuje i wykonuje zaawansowane złośliwe oprogramowanie przeznaczone do zbierania poświadczeń i zdalnego wykonywania kodu. Celami wydają się być stanowiska programistyczne i serwery budowania, co budzi obawy o dalsze rozprzestrzenianie się przez pipeline’y CI/CD.
Ta kampania podkreśla rosnące przenikanie technologii blockchain i zagrożeń bezpieczeństwa cybernetycznego. Osadzając logikę pobierania w operacjach inteligentnych kontraktów, przeciwnicy zyskują ukryty kanał, który omija wiele ustalonych zabezpieczeń. Zespoły ds. bezpieczeństwa są zachęcane do wdrażania filtrów świadomych blockchain, monitorowania nietypowych wywołań RPC wychodzących oraz egzekwowania rygorystycznych audytów łańcucha dostaw dla wszystkich zależności. Główne rejestry pakietów i platformy developerskie stoją pod presją, aby ulepszyć monitorowanie interakcji on-chain powiązanych z pobieraniem pakietów.
W odpowiedzi na te ustalenia dostawcy narzędzi open-source aktualizują silniki skanowania, aby wykrywać wzorce wywołań inteligentnych kontraktów. Zasady zapór sieciowych oraz programy edukacyjne dla deweloperów podkreślają teraz konieczność dokładnej kontroli kodu komunikującego się z punktami końcowymi blockchain. W miarę jak przeciwnicy doskonalą strategie unikania wykrycia on-chain, skoordynowane działania społeczności kryptowalutowej, firm bezpieczeństwa i administratorów rejestrów są kluczowe dla łagodzenia nowych zagrożeń i ochrony ekosystemów programistycznych.
Komentarze (0)