ReversingLabs güvenlik araştırmacıları, Ethereum akıllı kontratlarını kötü amaçlı yazılım dağıtımını gizlemek için kullanan yeni bir tedarik zinciri saldırısını tespit etti. Masum görünümlü “colortoolsv2” ve “mimelib2” adlı iki kötü amaçlı NPM paketi, gizli URL'leri getirmek için akıllı kontrat çağrılarını entegre ederek ikinci aşama zararlı yükleri ele geçirilmiş sistemlere ulaştırdı. Bu teknik, blockchain işlemlerine gömülü alma mantığı sayesinde geleneksel statik ve dinamik kod incelemelerinin önünden geçti ve kötü niyetli faaliyetleri meşru ağ trafiğine karıştırdı.
Saldırganlar, sahte taahhütlerle doldurulmuş uydurma GitHub depoları oluşturdu, yıldız sayılarını şişirdi ve sahte kullanıcı katkıları ile güven oluşturdu. Bu paketleri çalıştıran kurban ortamları, akıllı kontrat fonksiyonlarını çağırmak için Ethereum düğümleri ile iletişime geçti ve gizli indirme bağlantıları aldı. Bu yöntem algılama zorluğunu artırdı, çünkü blockchain tabanlı geri çağırmalar standart yazılım kayıtlarında çok az iz bıraktı. Analistler, bunun payload dağıtımı için GitHub Gistler veya bulut depolama gibi kamuya açık barındırma hizmetlerine dayanan eski taktiklerin evrimi olduğunu belirtiyor.
ReversingLabs, saldırı örneklerinin şifrelenmiş payload meta verilerini kontrol eden iki akıllı kontrat adresini kullandığını bildiriyor. Paket çalıştırıldığında, NPM kayıt dağıtım mekanizması, kontrata maskelenmiş bir uç nokta sorgulayan bir ara modül yüklüyor. Uç nokta, AES ile şifrelenmiş bir ikili yükleyici sağlıyor ve bu yükleyici kimlik bilgisi toplama ve uzaktan kod yürütme için tasarlanmış gelişmiş kötü amaçlı yazılımı çözüp çalıştırıyor. Hedeflerin geliştirici iş istasyonları ve yapı sunucuları olduğu görülüyor ve bu durum CI/CD boru hatları aracılığıyla daha fazla yayılma endişesi yaratıyor.
Bu kampanya, blockchain teknolojisi ile siber güvenlik tehditlerinin artan kesişimini vurguluyor. Akıllı kontrat işlemlerine alma mantığını yerleştirerek, saldırganlar birçok yerleşik savunmayı atlatan gizli bir kanal kazanıyor. Güvenlik ekiplerine, blockchain farkındalıklı filtreleme uygulamaları, olağandışı dışa dönük RPC çağrılarının izlenmesi ve tüm bağımlılıklar için sıkı tedarik zinciri denetimi yapılması çağrısında bulunuluyor. Büyük paket kayıtları ve geliştirme platformları, paket indirmeleriyle bağlantılı zincir üstü veri etkileşimlerinin izlenmesini artırmak için baskı altında.
Bu bulgulara yanıt olarak, açık kaynak araç satıcıları, akıllı kontrat çağrısı desenlerini tespit etmek için tarama motorlarını güncelliyor. Ağ güvenlik duvarı kuralları ve geliştirici eğitim programları artık blockchain uç noktalarıyla etkileşime giren kodun dikkatle incelenmesi gerektiğini vurguluyor. Saldırganlar zincir üstü kaçınma stratejilerini geliştirdikçe, kripto topluluğu, güvenlik firmaları ve kayıt tutucular arasında koordineli çabalar ortaya çıkan tehditleri azaltmak ve geliştirici ekosistemlerini korumak için kritik önem taşıyor.
Yorumlar (0)