ReversingLabs的安全研究人员发现了一种利用以太坊智能合约来混淆恶意软件分发的新型供应链攻击。两个名为“colortoolsv2”和“mimelib2”的恶意NPM软件包伪装成无害工具,集成智能合约调用以获取隐藏的URL,从而将二阶段有效载荷传递到受感染系统。此技术通过将检索逻辑嵌入区块链交易中,混淆恶意活动与合法网络流量,从而绕过传统的静态和动态代码检测。
攻击者注册了虚假的GitHub仓库,注入伪造的提交、虚假的星标数量及虚假用户贡献以增强信任度。执行这些软件包的受害环境会联系以太坊节点调用合约函数,返回隐藏的下载链接。该方法增加了检测难度,因为基于区块链的回调在标准软件注册中心留下的痕迹极少。分析师指出,这代表了依赖于公共托管服务如GitHub Gists或云存储进行有效载荷分发的旧手法的进化。
ReversingLabs报告称,攻击样本利用两个智能合约地址控制加密有效载荷元数据的分发。在软件包执行时,NPM注册表的分发机制加载一个查询合约以获取掩码端点的存根模块。该端点随后提供AES加密的二进制加载器,解密并执行用于凭证窃取和远程代码执行的高级恶意软件。目标似乎包括开发者工作站和构建服务器,引发了通过CI/CD管道进一步传播的担忧。
此次活动凸显了区块链技术与网络安全威胁日益交织的趋势。通过在智能合约操作中嵌入检索逻辑,攻击者获得了绕过多重防御的隐蔽通道。安全团队被敦促实施区块链感知过滤,监控异常的出站RPC调用,并对所有依赖项执行严格的供应链审计。主要的软件包注册中心和开发平台面临加强对与软件包下载相关链上数据交互监控的压力。
针对这些发现,开源工具供应商正在更新扫描引擎以检测智能合约调用模式。网络防火墙规则和开发者教育项目现着重强调审查与区块链端点交互的代码。随着攻击者不断完善链上规避策略,加密社区、安全公司及注册中心维护者之间的协调合作对于减轻新兴威胁和保护开发者生态系统至关重要。
评论 (0)