Các nhà nghiên cứu bảo mật tại ReversingLabs đã xác định một cuộc tấn công chuỗi cung ứng mới sử dụng hợp đồng thông minh Ethereum để che giấu việc phân phối phần mềm độc hại. Hai gói NPM độc hại, giả dạng như các tiện ích vô hại mang tên “colortoolsv2” và “mimelib2,” tích hợp các cuộc gọi hợp đồng thông minh để lấy các URL ẩn cung cấp giai đoạn payload thứ hai cho các hệ thống bị xâm nhập. Kỹ thuật này vượt qua các kiểm tra mã tĩnh và động thông thường bằng cách nhúng logic truy xuất trong các giao dịch blockchain, pha trộn hoạt động độc hại vào lưu lượng mạng hợp pháp.
Kẻ tấn công đăng ký các kho lưu trữ GitHub giả mạo với các cam kết giả, tăng số lượng sao và đóng góp người dùng giả để củng cố sự tin tưởng. Môi trường nạn nhân khi thực thi các gói này sẽ liên hệ với các nút Ethereum để gọi các chức năng hợp đồng, trả về các liên kết tải xuống được giấu kín. Phương pháp này làm tăng độ khó phát hiện vì các cuộc gọi lại dựa trên blockchain để lại rất ít dấu vết trong các đăng ký phần mềm tiêu chuẩn. Các nhà phân tích lưu ý đây là sự phát triển của các chiến thuật cũ dựa vào dịch vụ lưu trữ công khai như GitHub Gists hoặc lưu trữ đám mây để phân phối payload.
ReversingLabs báo cáo rằng các mẫu tấn công khai thác hai địa chỉ hợp đồng thông minh kiểm soát việc phân phối siêu dữ liệu payload được mã hóa. Khi gói được thực thi, cơ chế phân phối của kho NPM tải một mô-đun stub truy vấn hợp đồng để lấy một điểm cuối được mã hóa. Điểm cuối sau đó cung cấp một bộ nạp nhị phân mã hóa AES, giải mã và thực thi phần mềm độc hại tiên tiến được thiết kế để thu thập thông tin đăng nhập và thực thi mã từ xa. Các mục tiêu có vẻ bao gồm các trạm làm việc của nhà phát triển và máy chủ xây dựng, gây lo ngại về sự lan truyền thêm qua các đường ống CI/CD.
Chiến dịch này nhấn mạnh sự giao thoa ngày càng tăng giữa công nghệ blockchain và các mối đe dọa an ninh mạng. Bằng cách nhúng logic truy xuất trong các hoạt động hợp đồng thông minh, kẻ thù tạo ra một kênh giấu mặt trốn tránh nhiều biện pháp phòng thủ đã được thiết lập. Các nhóm bảo mật được khuyến cáo áp dụng bộ lọc nhận biết blockchain, giám sát các cuộc gọi RPC bất thường ra ngoài và thực thi kiểm tra chuỗi cung ứng nghiêm ngặt cho tất cả các phụ thuộc. Các kho lưu trữ gói lớn và nền tảng phát triển phải chịu áp lực nâng cao giám sát các tương tác dữ liệu trên chuỗi liên quan đến việc tải gói.
Đáp lại các phát hiện này, các nhà cung cấp công cụ mã nguồn mở đang cập nhật các công cụ quét để phát hiện các mẫu gọi hợp đồng thông minh. Quy tắc tường lửa mạng và chương trình đào tạo nhà phát triển hiện nhấn mạnh nhu cầu kiểm tra kỹ mã tương tác với các điểm cuối blockchain. Khi kẻ thù hoàn thiện các chiến lược tránh né trên chuỗi, các nỗ lực phối hợp giữa cộng đồng crypto, các công ty bảo mật và các nhà duy trì đăng ký là rất quan trọng để giảm thiểu các mối đe dọa mới nổi và bảo vệ hệ sinh thái nhà phát triển.
Bình luận (0)