Hacker utiliza contratos inteligentes de Ethereum para ocultar malware: análisis de nuevas amenazas

El equipo de investigación de ReversingLabs ha descubierto recientemente una actividad de ataque que utiliza contratos inteligentes de Ethereum para ocultar URLs de malware. La investigación muestra que los atacantes utilizan el paquete npm colortoolv2 y mimelib2 como descargadores de malware.

Estos paquetes de npm, una vez instalados, obtendrán información sobre la infraestructura de comando y control de malware de segunda fase (C2) consultando contratos inteligentes de Ethereum. Lucija Valentic, investigadora de ReversingLabs, afirma que este método de ataque es bastante creativo y nunca antes se había visto. Esta técnica de los atacantes puede eludir los escaneos tradicionales, ya que estos escaneos suelen marcar solo las URL sospechosas en los scripts de los paquetes.

Los actores de amenazas ocultan astutamente el malware

Los contratos inteligentes de Ethereum son programas automatizados de blockchain públicos. En este ataque, los hackers utilizaron contratos inteligentes para ocultar código malicioso a la vista del público. La carga maliciosa se ocultó en un simple archivo index.js, que al ejecutarse se conecta a la blockchain para obtener detalles del servidor C2.

La investigación de ReversingLabs muestra que los paquetes de descargadores no son comunes en npm, y el uso de alojamiento en blockchain marca una nueva etapa en las técnicas de evasión de detección.

Consejos de seguridad: Los desarrolladores deben ser especialmente cautelosos al usar bibliotecas de código abierto, especialmente aquellas relacionadas con funciones de criptomonedas. Se recomienda realizar una auditoría de seguridad completa antes de incorporar cualquier dependencia de terceros.

Los atacantes falsifican repositorios de GitHub para aumentar su reputación

Los investigadores realizaron un escaneo exhaustivo de GitHub y descubrieron que estos paquetes npm estaban incrustados en repositorios disfrazados como robots de comercio de criptomonedas, como Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, entre otros. Estos repositorios fueron falsificados como herramientas profesionales, con múltiples envíos, contenedores y estrellas, pero en realidad son todos ficticios.

La investigación ha encontrado que las cuentas que realizan envíos o bifurcaciones de estos repositorios fueron creadas en julio y no muestran ninguna actividad de codificación. La mayoría de las cuentas tienen un archivo README incrustado en su repositorio. La investigación revela que el número de envíos fue generado artificialmente a través de un proceso automatizado para exagerar la actividad de codificación. Por ejemplo, la mayoría de los envíos registrados son solo modificaciones de archivos de licencia y no actualizaciones sustanciales.

Consejos de seguridad: Los usuarios de CEX y los inversores en criptomonedas no deben juzgar la credibilidad de un proyecto basándose únicamente en datos superficiales como el número de estrellas o la frecuencia de envíos al utilizar herramientas de código abierto en GitHub. Se recomienda revisar a fondo la calidad del código y el estado de mantenimiento.

Detección de amenazas de la nueva fase de incrustación de malware en la blockchain de Ethereum

El ataque descubierto esta vez es el más reciente en una serie de ataques al ecosistema blockchain. En marzo de este año, ResearchLabs también encontró otros paquetes npm maliciosos que modifican paquetes legítimos de Ether al insertar código de shell inverso.

Investigaciones muestran que en 2024 se registraron 23 eventos relacionados con criptomonedas en la cadena de suministro, que involucran malware y filtración de credenciales entre otras formas.

Aunque este descubrimiento utiliza algunos métodos antiguos, introduce contratos inteligentes de Ethereum como un nuevo mecanismo. El investigador de Valentic señala que esto destaca la rápida evolución de los actores maliciosos en la evasión de detección, ya que continuamente buscan nuevas formas de infiltrarse en proyectos de código abierto y entornos de desarrolladores.

Consejos de seguridad: Para las plataformas CEX y los usuarios, este tipo de amenazas nuevas significa que es necesario fortalecer la auditoría de seguridad de los contratos inteligentes y aumentar la vigilancia sobre los contratos que podrían ser mal utilizados. Las plataformas deberían considerar implementar mecanismos de revisión de código de terceros más estrictos.

A pesar de que los paquetes npm involucrados, colortoolsv2 y mimelib2, han sido eliminados de npm y las cuentas de GitHub relacionadas han sido cerradas, este evento destaca la evolución continua del ecosistema de amenazas de software. Nos recuerda que incluso las funciones de blockchain que parecen inofensivas pueden ser explotadas por los hackers, convirtiéndose en posibles riesgos de seguridad.