ReversingLabs的安全研究人员发现了一种利用以太坊智能合约来混淆恶意软件分发的新型供应链攻击。两个名为“colortoolsv2”和“mimelib2”的恶意NPM包伪装成无害的实用工具,集成了智能合约调用以获取隐藏的URL,将二阶段有效载荷传递给受感染系统。该技术通过将检索逻辑嵌入区块链交易中,掩盖恶意活动于合法网络流量,从而绕过了传统的静态和动态代码检测。
攻击者注册了伪造的GitHub仓库,注入虚假提交,虚增星标数和伪造用户贡献以增强可信度。执行这些包的受害环境会联系以太坊节点调用合约功能,返回隐藏的下载链接。由于基于区块链的回调在标准软件注册中心留下的痕迹极少,此方法增加了检测难度。分析人员指出,这代表了利用GitHub Gists或云存储等公共托管服务进行有效载荷传递的旧策略的进化。
ReversingLabs报告称,攻击样本利用了两个智能合约地址控制加密有效载荷元数据的分发。包执行时,NPM注册中心的分发机制加载一个存根模块,该模块查询合约以获取掩码端点。该端点随后提供AES加密的二进制加载器,解密并执行设计用于凭证窃取和远程代码执行的高级恶意软件。目标似乎包括开发者工作站和构建服务器,令人担忧通过CI/CD管道的进一步传播。
这次攻击强调了区块链技术与网络安全威胁日益交织的趋势。通过在智能合约操作中嵌入检索逻辑,对手获得了一个隐蔽通道,能规避许多现有防御。安全团队被敦促实施区块链感知的过滤,监控异常的出站RPC调用,并对所有依赖项实施严格的供应链审计。主要包注册中心和开发平台面临加强对链上数据交互相关包下载监控的压力。
针对这些发现,开源工具供应商正在更新扫描引擎以检测智能合约调用模式。网络防火墙规则和开发者教育项目现强调需审查与区块链端点交互的代码。随着攻击者不断完善链上规避策略,密码社区、安全公司和注册维护者间的协调合作对于缓解新兴威胁、保障开发者生态至关重要。
评论 (0)