Pesquisadores de segurança da ReversingLabs identificaram um novo ataque à cadeia de suprimentos que utiliza contratos inteligentes do Ethereum para ofuscar a distribuição de malware. Dois pacotes NPM maliciosos, disfarçados como utilitários inofensivos chamados “colortoolsv2” e “mimelib2”, integraram chamadas a contratos inteligentes para buscar URLs ocultos que entregavam cargas úteis secundárias a sistemas comprometidos. Essa técnica evitou as inspeções convencionais de código estático e dinâmico ao incorporar a lógica de recuperação dentro de transações na blockchain, mesclando a atividade maliciosa ao tráfego legítimo da rede.
Os atacantes registraram repositórios fictícios no GitHub, preenchidos com commits falsos, contagens infladas de estrelas e contribuições de usuários forjados para aumentar a confiança. Ambientes das vítimas que executavam esses pacotes contatavam nós do Ethereum para invocar funções de contrato, que retornavam links de download ocultos. Esse método aumentou a complexidade da detecção, pois as chamadas de retorno baseadas em blockchain deixavam traços mínimos nos registros padrão de software. Analistas ressaltam que isso representa uma evolução das táticas anteriores que dependiam de serviços públicos de hospedagem como GitHub Gists ou armazenamento em nuvem para entrega de cargas úteis.
A ReversingLabs relata que as amostras do ataque exploram dois endereços de contratos inteligentes que controlam a distribuição de metadados de cargas úteis criptografadas. Após a execução do pacote, o mecanismo de distribuição do registro NPM carrega um módulo stub que consulta o contrato por um endpoint mascarado. O endpoint então serve um carregador binário criptografado com AES, que descriptografa e executa malware avançado projetado para coleta de credenciais e execução remota de código. Os alvos parecem incluir estações de trabalho de desenvolvedores e servidores de build, levantando preocupações sobre propagação adicional através de pipelines de CI/CD.
Essa campanha destaca a crescente interseção entre tecnologia blockchain e ameaças cibernéticas. Ao incorporar a lógica de recuperação dentro das operações de contratos inteligentes, os adversários ganham um canal furtivo que evade muitas defesas estabelecidas. As equipes de segurança são instadas a implementar filtragem consciente de blockchain, monitorar chamadas RPC incomuns de saída e aplicar auditorias rigorosas da cadeia de suprimentos para todas as dependências. Principais registros de pacotes e plataformas de desenvolvimento enfrentam pressão para melhorar o monitoramento das interações de dados on-chain vinculadas a downloads de pacotes.
Em resposta a essas descobertas, fornecedores de ferramentas open-source estão atualizando motores de varredura para detectar padrões de invocação de contratos inteligentes. Regras de firewall de rede e programas de educação para desenvolvedores agora enfatizam a necessidade de examinar códigos que interagem com endpoints de blockchain. À medida que os adversários refinam estratégias de evasão on-chain, esforços coordenados entre a comunidade cripto, empresas de segurança e mantenedores de registros são críticos para mitigar ameaças emergentes e proteger os ecossistemas de desenvolvedores.
Comentários (0)