ReversingLabs的安全研究人員發現一種利用以太坊智能合約混淆惡意軟體傳播的新型供應鏈攻擊。兩個偽裝成無害工具的惡意NPM套件“colortoolsv2”和“mimelib2”整合了智能合約調用,以獲取隱藏的URL,將第二階段的有效載荷傳送至受感染系統。此技術通過在區塊鏈交易中嵌入檢索邏輯,將惡意活動混入合法網絡流量,從而避開傳統的靜態和動態代碼檢查。
攻擊者註冊了偽造的GitHub倉庫,內含虛假提交、膨脹的星標數量及偽造的用戶貢獻,以增強信任度。執行這些套件的受害環境會聯繫以太坊節點調用合約功能,返回隱藏的下載鏈結。此方法增加了檢測的難度,因基於區塊鏈的回調在標準軟體註冊表中留下的痕跡極少。分析師指出,這是舊有策略的進化,舊策略依靠公共託管服務如GitHub Gists或雲存儲進行有效載荷傳送。
ReversingLabs報告稱,攻擊樣本利用兩個智能合約地址控制加密有效載荷元數據的分發。套件執行時,NPM註冊中心的分發機制會載入一個存根模塊,查詢合約以獲取掩碼端點。該端點隨後提供一個AES加密的二進制加載器,解密並執行專為憑證盜取和遠端代碼執行設計的先進惡意軟體。目標似乎包括開發者工作站和構建伺服器,引發對通過CI/CD管道進一步擴散的擔憂。
此次攻擊活動凸顯了區塊鏈技術與網絡安全威脅日益交織的趨勢。攻擊者透過在智能合約操作中嵌入檢索邏輯,獲得一條能避開多種既有防禦的隱蔽通道。安全團隊被敦促實施區塊鏈感知的過濾措施,監控異常的出站RPC調用,並對所有依賴項強制執行嚴格的供應鏈審計。主要套件註冊中心及開發平台面臨加強對鏈上數據交互與套件下載關聯監控的壓力。
為回應這些發現,開源工具供應商正在更新掃描引擎以檢測智能合約調用模式。網絡防火牆規則及開發者教育計劃現更強調需嚴格審查與區塊鏈端點互動的代碼。隨著攻擊者精進鏈上規避策略,加密社群、安全公司與註冊中心管理者間的協調合作對於緩解新興威脅及保護開發生態系統至關重要。
評論 (0)