Ethereum-smartkontrakt och kryptohackare som använder skadliga koder för att dölja hot

Säkerhetsforskare på ReversingLabs har identifierat en ny leveranskedjeattack som utnyttjar Ethereum-smartkontrakt för att dölja distribution av skadlig programvara. Två skadliga NPM-paket, förklädda som harmlösa verktyg med namnen “colortoolsv2” och “mimelib2,” integrerade smartkontraktsanrop för att hämta dolda URL:er som levererade andra-stegspayloads till komprometterade system. Denna teknik kringgick konventionella statiska och dynamiska kodinspektioner genom att bädda in hämtlogik i blockchain-transaktioner, vilket smälte samman skadlig aktivitet med legitim nätverkstrafik.

Attackörerna registrerade fabricerade GitHub-repositorier fyllda med falska commits, uppblåsta stjärnantal och förfalskade användarbidrag för att öka förtroendet. Offrens miljöer som exekverade dessa paket kontaktade Ethereum-noder för att anropa kontraktsfunktioner, vilka returnerade dolda nedladdningslänkar. Denna metod ökade komplexiteten i upptäckten, eftersom blockchain-baserade callbacks lämnade minimala spår i standardprogramvaruregistreringar. Analytiker noterar att detta representerar en utveckling av äldre taktiker som förlitade sig på publika hostingtjänster som GitHub Gists eller molnlagring för leverans av payloads.

ReversingLabs rapporterar att attackproverna utnyttjar två smartkontraktsadresser som kontrollerar distributionen av krypterad metadata för payloads. Vid paketexekvering laddar NPM-registret en stub-modul som frågar kontraktet efter en maskerad slutpunkt. Slutpunkten levererar sedan en AES-krypterad binär loader som dekrypterar och exekverar avancerad skadlig programvara designad för att samla in autentiseringsuppgifter och fjärrköra kod. Måltavlor verkar inkludera utvecklares arbetsstationer och byggservrar, vilket väcker oro för vidare spridning genom CI/CD-pipelines.

Denna kampanj understryker den ökande samspelet mellan blockchain-teknologi och cybersäkerhetshot. Genom att bädda in hämtlogik i smartkontraktsoperationer får angripare en dold kanal som undviker många etablerade försvar. Säkerhetsteam uppmanas att implementera blockchain-medveten filtrering, övervaka ovanliga utgående RPC-anrop och genomföra strikt leveranskedjeauditering för alla beroenden. Stora paketregister och utvecklingsplattformar står inför press att förbättra övervakningen av on-chain-datainteraktioner kopplade till paketnedladdningar.

Som svar på dessa fynd uppdaterar leverantörer av öppen källkodsscanmotorer för att upptäcka smartkontraktsinvokationsmönster. Nätverksbrandväggsregler och utbildningsprogram för utvecklare betonar nu vikten av att granska kod som interagerar med blockchain-slutpunkter. När angripare förfinar on-chain undvikandestrategier är koordinerade insatser inom kryptosamhället, säkerhetsföretag och registerunderhållare avgörande för att mildra nya hot och skydda utvecklarekosystem.