Varnostni raziskovalci v ReversingLabs so odkrili nov napad na dobavno verigo, ki uporablja Ethereum pametne pogodbe za prikrivanje distribucije zlonamerne programske opreme. Dva zlonamerna NPM paketa, ki sta se predstavljala kot nedolžni pripomočki z imeni"colortoolsv2" in"mimelib2", sta vgradila klice pametnih pogodb za pridobivanje skritih URL-jev, ki so dostavljali drugo fazo zlonamerne kode na prizadete sisteme. Ta tehnika je obšla običajne statične in dinamične preglede kode z vdelavo logike pridobivanja znotraj blockchain transakcij, kar je zlonamerno dejavnost zlilo z legitimnim omrežnim prometom.
Napadalci so registrirali lažne GitHub repozitorije, polnjene s ponarejenimi commiti, napihnili število zvezdic in ponarejene uporabniške prispevke, da bi povečali zaupanje. Okolja žrtev, ki so izvajala te pakete, so stopila v stik z Ethereum vozlišči za klicanje funkcij pogodbe, ki so vrnila skrite povezave za prenos. Ta metoda je povečala zapletenost odkrivanja, saj blockchain povratni klici puščajo minimalne sledi v običajnih programskih registrih. Analitiki opozarjajo, da to predstavlja razvoj starejših taktik, ki so se zanašale na javne gostiteljske storitve, kot so GitHub Gists ali shranjevanje v oblaku, za dostavo zlonamerne kode.
ReversingLabs poroča, da vzorci napada izkoriščajo dva naslova pametnih pogodb, ki nadzorujeta distribucijo šifriranih meta-podatkov zlonamerne kode. Ob zagonu paketa mehanizem distribucije NPM registra naloži vmesni modul, ki poizveduje pogodbo za prikrito končno točko. Končna točka nato streže AES-šifriran binarni nalagalnik, ki dešifrira in izvrši napredno zlonamerno programsko opremo, namenjeno zbiranju poverilnic in daljinskemu izvajanju kode. Cilji so videti kot delovna mesta razvijalcev in strežniki za gradnjo, kar povzroča zaskrbljenost glede nadaljnje širjenja prek CI/CD cevovodov.
Ta kampanja poudarja vse večjo prepletenost tehnologije blockchain in kibernetskih groženj. Z vdelavo logike pridobivanja v operacije pametnih pogodb si napadalci zagotovijo prikriti kanal, ki se izogne mnogim uveljavljenim obrambam. Varnostne ekipe so pozvane, naj uvedejo filtre, ki poznajo blockchain, spremljajo nenavadne odhodne RPC klice in izvajajo stroge preglede dobavne verige za vse odvisnosti. Glavni registri paketov in razvojne platforme so pod pritiskom, da izboljšajo spremljanje interakcij na verigi, povezanih s prenosom paketov.
V odziv na te ugotovitve proizvajalci odprtokodne programske opreme posodabljajo skenerje za zaznavanje vzorcev klicev pametnih pogodb. Pravila požarnih zidov omrežja in programi izobraževanja razvijalcev zdaj poudarjajo potrebo po pregledu kode, ki komunicira z blockchain končnimi točkami. Ker napadalci izpopolnjujejo strategije izogibanja na verigi, so usklajena prizadevanja v kripto skupnosti, varnostnih podjetjih in upraviteljih registrov ključna za blaženje novih groženj in zaščito ekosistemov razvijalcev.
Komentarji (0)