Malware utiliza contratos inteligentes de Ethereum para evadir la detección

Según investigaciones recientes, los ciberdelincuentes han desarrollado un método sofisticado para distribuir software malicioso a través de contratos inteligentes en la blockchain de Ethereum, eludiendo los sistemas tradicionales de seguridad informática. Esta evolución en los ciberataques ha sido identificada por investigadores de seguridad de ReversingLabs, quienes descubrieron nuevo malware de código abierto en el repositorio Node Package Manager (NPM), una amplia colección de paquetes y bibliotecas JavaScript.

Un nuevo vector de ataque en la cadena de bloques

La investigadora Lucija Valentić de ReversingLabs destacó en una publicación técnica que los paquetes maliciosos, denominados "colortoolsv2" y "mimelib2", utilizan contratos inteligentes en Ethereum para ocultar comandos maliciosos. Estos paquetes, publicados en julio, funcionan como descargadores que obtienen direcciones de servidores de comando y control desde contratos inteligentes en lugar de alojar directamente enlaces maliciosos. Este enfoque complica los esfuerzos de detección, ya que el tráfico blockchain aparece legítimo, permitiendo al malware instalar software adicional en sistemas comprometidos.

El uso de contratos inteligentes de Ethereum para alojar URLs donde se encuentran los comandos maliciosos representa una técnica innovadora en la distribución de malware. Valentić señaló que este método marca un cambio significativo en las estrategias para evadir la detección, mientras los actores maliciosos explotan cada vez más los repositorios de código abierto y a los desarrolladores.

Evolución de tácticas y contexto histórico

Esta técnica fue empleada previamente por el grupo Lazarus, vinculado a Corea del Norte, a principios de este año. Sin embargo, el enfoque actual demuestra una rápida evolución en los vectores de ataque utilizados por ciberdelincuentes.

Los paquetes maliciosos forman parte de una campaña de engaño más amplia que opera principalmente a través de GitHub. Los atacantes han creado repositorios falsos de bots de trading de criptomonedas, presentándolos como creíbles mediante commits fabricados, cuentas de usuario falsas, múltiples cuentas de mantenedores y descripciones y documentación de proyectos de aspecto profesional. Esta elaborada estrategia de ingeniería social busca eludir los métodos tradicionales de detección combinando tecnología blockchain con prácticas engañosas.

Un panorama creciente de amenazas

En 2024, los investigadores de seguridad han documentado 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto. Sin embargo, este último vector de ataque subraya la continua evolución de los ataques a repositorios.

Más allá de Ethereum, se han empleado tácticas similares en otras plataformas, como un repositorio falso de GitHub que se hacía pasar por un bot de trading de Solana, que distribuía malware para robar credenciales de billeteras criptográficas. Además, los hackers han atacado "Bitcoinlib", una biblioteca Python de código abierto diseñada para facilitar el desarrollo de Bitcoin, lo que ilustra aún más la naturaleza diversa y adaptativa de estas amenazas cibernéticas.

Implicaciones para la seguridad blockchain

Esta nueva forma de utilizar la tecnología blockchain para propósitos maliciosos representa un desafío significativo para los sistemas de seguridad tradicionales. Al aprovechar la naturaleza descentralizada y la confiabilidad de las redes blockchain, los atacantes pueden crear infraestructuras maliciosas que resultan difíciles de detectar y neutralizar con herramientas convencionales.

Para los usuarios de plataformas blockchain y desarrolladores, este desarrollo subraya la importancia de implementar medidas adicionales de seguridad y realizar verificaciones exhaustivas al interactuar con repositorios de código abierto y paquetes de software, especialmente aquellos relacionados con aplicaciones de criptomonedas y finanzas descentralizadas.