Исследователи безопасности из ReversingLabs выявили новую атаку на цепочку поставок, использующую смарт-контракты Ethereum для скрытия распространения вредоносного ПО. Два вредоносных пакета NPM, выдающих себя за безобидные утилиты под названиями «colortoolsv2» и «mimelib2», интегрировали вызовы смарт-контрактов для получения скрытых URL-адресов, через которые доставлялись второстепенные полезные нагрузки на скомпрометированные системы. Эта техника обходила традиционные методы статического и динамического анализа кода, внедряя логику получения данных в блокчейн-транзакции, что позволяло смешивать вредоносную активность с легитимным сетевым трафиком.
Злоумышленники регистрировали поддельные репозитории на GitHub с фальшивыми коммитами, увеличенным числом звезд и поддельным вкладом пользователей для повышения доверия. Среды жертв, выполняя эти пакеты, обращались к узлам Ethereum для вызова функций контрактов, которые возвращали скрытые ссылки для загрузки. Этот метод повышал сложность обнаружения, так как вызовы на основе блокчейна оставляли минимальные следы в стандартных реестрах программного обеспечения. Аналитики отмечают, что это эволюция старых тактик, основанных на использовании публичных хостинг-сервисов, таких как GitHub Gists или облачное хранилище, для доставки полезных нагрузок.
В отчете ReversingLabs говорится, что образцы атаки используют два адреса смарт-контрактов, управляющих распространением зашифрованных метаданных полезной нагрузки. При выполнении пакета механизм распространения реестра NPM загружает заглушку модуля, которая запрашивает контракт маскированную конечную точку. Эта конечная точка затем предоставляет бинарный загрузчик, зашифрованный AES, который расшифровывает и выполняет продвинутый вредоносный код, предназначенный для кражи учетных данных и удаленного выполнения кода. Целями, по-видимому, являются рабочие станции разработчиков и серверы сборки, что вызывает опасения по поводу дальнейшего распространения через CI/CD пайплайны.
Эта кампания подчеркивает растущее пересечение блокчейн-технологий и угроз кибербезопасности. Встраивая логику получения данных в операции смарт-контрактов, злоумышленники получают скрытый канал, который обходил многие существующие защиты. Команды безопасности призываются внедрять фильтрацию с учетом блокчейна, мониторить необычные исходящие RPC-запросы и строго проверять цепочку поставок всех зависимостей. Крупные реестры пакетов и платформы разработки испытывают давление для улучшения мониторинга взаимодействий с ончейн-данными, связанными с загрузками пакетов.
В ответ на эти находки поставщики открытых инструментов обновляют движки сканирования для обнаружения паттернов вызовов смарт-контрактов. Правила сетевых межсетевых экранов и программы обучения разработчиков теперь акцентируют внимание на необходимости тщательной проверки кода, взаимодействующего с блокчейн-конечными точками. По мере того как злоумышленники совершенствуют стратегии обхода с помощью ончейн-методов, скоординированные усилия криптосообщества, компаний по безопасности и поддерживающих реестры имеют решающее значение для смягчения возникающих угроз и защиты экосистем разработчиков.
Комментарии (0)