Cercetătorii în securitate de la ReversingLabs au identificat un nou atac asupra lanțului de aprovizionare care utilizează contracte inteligente Ethereum pentru a ascunde distribuția de malware. Două pachete NPM malițioase, care se dădeau drept utilitare inofensive numite „colortoolsv2” și „mimelib2,” au integrat apeluri către contracte inteligente pentru a prelua URL-uri ascunse ce livrau încărcături utile de etapă secundă către sistemele compromise. Această tehnică a ocolit inspecțiile convenționale statice și dinamice de cod prin încorporarea logicii de preluare în tranzacții blockchain, integrând activitatea malițioasă în traficul legitim de rețea.
Atacatorii au înregistrat depozite fabricate pe GitHub, încărcate cu comiteri false, un număr crescut artificial de stele și contribuții contrafăcute ale utilizatorilor pentru a crește încrederea. Mediile victime care executau aceste pachete contactau noduri Ethereum pentru a invoca funcții ale contractelor, care returnau linkuri de descărcare ascunse. Această metodă a crescut complexitatea detecției, deoarece apelurile de întoarcere pe blockchain lăsau urme minime în registrele software standard. Analiștii observă că aceasta reprezintă o evoluție a tacticilor mai vechi ce se bazau pe servicii de găzduire publică precum GitHub Gists sau stocare în cloud pentru livrarea încărcăturilor utile.
ReversingLabs raportează că mostrele atacului exploatează două adrese de contracte inteligente care controlează distribuția metadatelor încărcăturilor utile criptate. La execuția pachetului, mecanismul de distribuție al registrului NPM încarcă un modul stub care interoghează contractul pentru un endpoint mascat. Endpoint-ul servește apoi un încărcător binar criptat AES, care decriptează și execută malware avansat creat pentru colectarea de credențiale și execuție remote de cod. Țintele par să includă stații de lucru ale dezvoltatorilor și servere de build, ridicând îngrijorări cu privire la o posibilă propagare ulterioară prin pipe-urile CI/CD.
Campania subliniază intersecția tot mai mare dintre tehnologia blockchain și amenințările de securitate cibernetică. Prin încorporarea logicii de preluare în operațiunile contractelor inteligente, adversarii obțin un canal stealth care evită multe dintre apărările stabilite. Echipele de securitate sunt îndemnate să implementeze filtrări conștiente de blockchain, să monitorizeze apelurile RPC ieșite neobișnuite și să aplice auditări stricte ale lanțului de aprovizionare pentru toate dependențele. Registrii majori de pachete și platformele de dezvoltare sunt supuși presiunii de a îmbunătăți monitorizarea interacțiunilor on-chain legate de descărcările de pachete.
Ca răspuns la aceste descoperiri, furnizorii de instrumente open-source își actualizează motoarele de scanare pentru a detecta tiparele de invocare a contractelor inteligente. Reguli de firewall pentru rețea și programe educaționale pentru dezvoltatori pun acum accent pe necesitatea de a examina codul care interacționează cu endpoint-urile blockchain. Pe măsură ce adversarii perfecționează strategiile de evadare on-chain, eforturi coordonate la nivelul comunității cripto, firmelor de securitate și administratorilor de registre sunt esențiale pentru a atenua amenințările emergente și a proteja ecosistemele dezvoltatorilor.
Comentarii (0)