Les hackers utilisent des smart contracts Ethereum pour cacher des malware : analyse de nouvelles menaces

L'équipe de recherche de ReversingLabs a récemment découvert une activité d'attaque utilisant des smart contracts Ethereum pour dissimuler des URL de malware. Les recherches montrent que les attaquants utilisent les packages npm colortoolv2 et mimelib2 comme téléchargeurs de logiciels malveillants.

Ces paquets npm, une fois installés, vont interroger des smart contracts Ethereum pour obtenir des informations sur les commandes et le contrôle de malware de deuxième phase (C2). La chercheuse de ReversingLabs, Lucija Valentic, a déclaré que cette méthode d'attaque est assez créative et qu'elle n'avait jamais été observée auparavant. Cette technique des attaquants peut contourner les analyses traditionnelles, car ces analyses ne marquent généralement que les URL suspectes dans les scripts des paquets.

Les acteurs de la menace cachent habilement du code malveillant

Les smart contracts Ethereum sont des programmes d'automatisation sur blockchain publics. Lors de cette attaque, les hackers ont utilisé des smart contracts pour cacher du code malveillant à la vue du public. La charge malveillante a été dissimulée dans un simple fichier index.js, qui, lors de son exécution, se connecte à la blockchain pour obtenir les détails du serveur C2.

Les recherches de ReversingLabs montrent que les paquets de téléchargeurs ne sont pas courants sur npm, tandis que l'hébergement sur blockchain marque une nouvelle étape dans les techniques d'évasion de la détection.

Avertissement de sécurité : Les développeurs doivent faire preuve d'une prudence particulière lorsqu'ils utilisent des bibliothèques open source, en particulier celles liées aux fonctionnalités de cryptomonnaie. Il est conseillé de procéder à un audit de sécurité complet avant d'intégrer toute dépendance tierce.

Les attaquants falsifient des dépôts GitHub pour améliorer leur réputation

Les chercheurs ont effectué un scan approfondi de GitHub et ont découvert que ces paquets npm étaient intégrés dans des dépôts se faisant passer pour des robots de trading de crypto-monnaie, tels que Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, etc. Ces dépôts sont déguisés en outils professionnels, avec de multiples commits, conteneurs et étoiles, mais en réalité, ils sont tous fictifs.

Des recherches montrent que les comptes ayant effectué des soumissions ou des forks de ces dépôts ont tous été créés en juillet et ne présentent aucune activité de codage. La plupart des dépôts des comptes contiennent un fichier README intégré. L'enquête révèle que le nombre de soumissions a été artificiellement généré par un processus automatisé pour exagérer l'activité de codage. Par exemple, la plupart des soumissions enregistrées ne sont que des modifications de fichiers de licence, et non des mises à jour substantielles.

Alerte de sécurité : Les utilisateurs de CEX et les investisseurs en cryptomonnaie ne doivent pas se fier uniquement aux données superficielles telles que le nombre d'étoiles ou la fréquence des soumissions pour évaluer la crédibilité d'un projet lorsqu'ils utilisent des outils open source sur GitHub. Il est recommandé d'examiner en profondeur la qualité du code et l'état de maintenance.

Détection des menaces par incrustation de logiciels malveillants sur la blockchain Ethereum : une nouvelle étape.

Cette attaque découverte est la dernière d'une série d'attaques contre l'écosystème blockchain. En mars de cette année, ResearchLabs a également découvert d'autres paquets npm malveillants qui modifiaient les paquets Ethers légitimes en y intégrant du code de shell inversé.

Des recherches montrent qu'en 2024, 23 événements liés aux cryptomonnaies ont été enregistrés dans la chaîne d'approvisionnement, impliquant diverses formes telles que des malwares et des fuites de certificats.

Cette découverte, bien qu'elle utilise certaines anciennes méthodes, introduit des contrats Ethereum comme nouveau mécanisme. Les chercheurs de Valentic soulignent cela met en évidence l'évolution rapide des acteurs malveillants dans l'évitement de la détection, qui cherchent constamment de nouvelles façons de s'introduire dans les projets open source et les environnements de développement.

Alerte de sécurité : Pour les plateformes CEX et les utilisateurs, ce type de nouvelle menace signifie qu'il est nécessaire de renforcer l'audit de sécurité des smart contracts et d'améliorer la surveillance des contrats qui pourraient être mal utilisés. La plateforme devrait envisager de mettre en œuvre des mécanismes d'audit de code tiers plus stricts.

Bien que les paquets npm impliqués, colortoolsv2 et mimelib2, aient été supprimés de npm et que les comptes GitHub associés aient été fermés, cet événement met en lumière l'évolution continue de l'écosystème des menaces logiciels. Il nous rappelle que même les fonctionnalités de blockchain apparemment inoffensives peuvent être exploitées par des hackers, devenant ainsi des menaces potentielles à la sécurité.