ReversingLabs 的安全研究人員發現了一種利用以太坊智能合約來混淆惡意軟體傳播的新型供應鏈攻擊。兩個偽裝成無害工具「colortoolsv2」和「mimelib2」的惡意 NPM 套件,整合了智能合約呼叫以取得隱藏的 URL,這些 URL 將第二階段的有效載荷傳送到受感染的系統。此技術透過將檢索邏輯嵌入區塊鏈交易中,混合惡意活動於正常網路流量中,繞過了傳統的靜態和動態程式碼檢查。
攻擊者註冊了包含虛假提交的偽造 GitHub 儲存庫,誇大星數和偽造使用者貢獻以建立信任。執行這些套件的受害環境會連接以太坊節點調用合約函數,該函數返回隱藏的下載連結。由於基於區塊鏈的回調在標準軟體註冊中留下的痕跡極少,這種方法提高了檢測的難度。分析師指出,這是以往依賴公共託管服務如 GitHub Gists 或雲端儲存進行有效載荷傳送策略的演變。
ReversingLabs 報告指出,攻擊樣本利用兩個控制加密有效載荷元資料分發的智能合約地址。執行套件時,NPM 註冊表的分發機制會載入一個存根模組,該模組查詢合約以獲取隱藏端點。此端點隨後提供 AES 加密的二進位載入器,解密並執行用於竊取憑證和遠端代碼執行的先進惡意軟體。目標似乎包括開發人員工作站和建構伺服器,引發透過 CI/CD 管線進一步擴散的疑慮。
此攻擊活動凸顯區塊鏈技術與資安威脅日益交織的趨勢。透過在智能合約操作中嵌入檢索邏輯,攻擊者獲得了可躲避多數既有防禦的隱密管道。資安團隊被敦促實施區塊鏈感知過濾,監控異常的外發 RPC 呼叫,並對所有相依套件執行嚴格的供應鏈審計。主要套件註冊中心和開發平台面臨加強監控與套件下載相關的鏈上數據互動的壓力。
針對這些發現,開源工具供應商正在更新掃描引擎以偵測智能合約調用模式。網路防火牆規則和開發者教育計劃也強調需審查與區塊鏈端點互動的程式碼。隨著攻擊者精進鏈上規避策略,加密社群、安全公司與註冊維護者間的協調合作,對於降低新興威脅及保護開發者生態系統至關重要。
評論 (0)