Istraživači bezbednosti iz ReversingLabs identifikovali su novi napad na lanac snabdevanja koji koristi Ethereum pametne ugovore za prikrivanje distribucije malware-a. Dva zlonamerna NPM paketa, prikrivena kao bezazlene alatke pod imenima „colortoolsv2“ i „mimelib2“, integrisala su pozive pametnih ugovora za dohvat skrivenih URL-ova koji su isporučivali payload-ove druge faze na kompromitovane sisteme. Ova tehnika je zaobišla konvencionalne statičke i dinamičke inspekcije koda tako što je ugrađivala logiku preuzimanja unutar blockchain transakcija, stapajući zlonamernu aktivnost sa legitimnim mrežnim saobraćajem.
Napadači su registrovali izmišljene GitHub repozitorijume sa lažnim commit-ovima, uvećanim brojem zvezdica i falsifikovanim doprinosima korisnika kako bi povećali poverenje. Okruženja žrtava koja izvršavaju ove pakete kontaktiraju Ethereum čvorove da pozovu funkcije ugovora koje vraćaju skrivene linkove za preuzimanje. Ovaj metod povećava složenost otkrivanja, pošto povratni pozivi bazirani na blockchain-u ostavljaju minimalne tragove u standardnim softverskim registrima. Analitičari ističu da ovo predstavlja evoluciju starijih taktika koje su se oslanjale na javne hosting servise kao što su GitHub Gists ili cloud skladišta za isporuku payload-a.
ReversingLabs izveštava da uzorci napada iskorišćavaju dve adrese pametnih ugovora koji kontrolišu distribuciju enkriptovanih metapodataka payload-a. Po izvršenju paketa, mehanizam distribucije NPM registra učitava stub modul koji upituje ugovor za maskiranu krajnju tačku. Krajnja tačka zatim serves AES-enkriptovani binarni loader koji dekriptuje i izvršava napredni malware dizajniran za prikupljanje akreditiva i daljinsko izvršavanje koda. Meta su, čini se, računarski radni stanovi programera i build serveri, podižući zabrinutost zbog daljeg širenja kroz CI/CD pipelineove.
Ova kampanja naglašava rastuću povezanost blockchain tehnologije i pretnji u sajber bezbednosti. Ugrađivanjem logike preuzimanja unutar operacija pametnih ugovora, protivnici dobijaju skriveni kanal koji zaobilazi mnoga uspostavljena odbrambena sredstva. Bezbednosni timovi su pozvani da implementiraju filtering svestran blockchain tehnologiji, prate neuobičajene odlazne RPC pozive i sprovedu strogu reviziju lanca snabdevanja za sve zavisnosti. Glavni registri paketa i razvojne platforme se suočavaju sa pritiskom da unaprede nadzor interakcija podataka na lancu vezanih za preuzimanja paketa.
U odgovoru na ova otkrića, dobavljači alata otvorenog koda ažuriraju rutere za skeniranje kako bi detektovali obrasce poziva pametnih ugovora. Pravila mrežnog firewall-a i programi obrazovanja programera sada naglašavaju potrebu za pažljivim pregledom koda koji interaguje sa blockchain krajnjim tačkama. Kako protivnici usavršavaju strategije izbegavanja na lancu, koordinisani napori unutar kripto zajednice, bezbednosnih firmi i održavalaca registara su ključni za ublažavanje novih pretnji i zaštitu ekosistema programera.
Коментари (0)